Microsoftは、以前は「仕様による」と述べていたが、Edge Webブラウザをアップデートして、起動時に保存されたパスワードがクリアテキストでプロセスメモリにロードされないようにした。
この動作は、セキュリティ研究者の Tom Jøran Sønstebyseter Rønning によって 5 月 4 日に暴露され、Edge の組み込みパスワード マネージャーに保存されているすべての資格情報が起動時に復号化され、使用されていないときでもメモリに保存されていることを実証しました。
Rønning は、管理者権限を持つ攻撃者が他のユーザーの Edge プロセスからパスワードを漏洩できるようにする概念実証 (PoC) ツールもリリースしました (管理者権限がない場合、PoC はそのユーザーが起動した Edge プロセスへのアクセスのみを許可します)。
同氏はまた、この問題をマイクロソフトに報告し、公表する前にその動作は「仕様による」と言われたと述べた。
「Edgeは、私がテストした中でこのように動作する唯一のChromiumベースのブラウザです。対照的に、Chromeは、攻撃者がプロセスメモリを読み取るだけで保存されたパスワードを抽出することをはるかに困難にする設計を採用しています」と研究者は述べた。
当初同社はこの問題への対処を拒否し、当時「これはアプリの予期された機能だ」とBleepingComputerに伝えていたが、報告されたシナリオが予想される既存の脅威モデル(攻撃者がすでにデバイスの管理制御を持っている攻撃を除く)に該当するにもかかわらず、Microsoftは水曜日、Edgeの将来のバージョンでは起動時に保存されたパスワードをメモリに読み込まなくなると発表した。
「この多層防御の変更は、サポートされているすべてのバージョンの Edge (Stable、Beta、Dev、Canary、および当社の企業顧客が実行する Extended Stable チャネル) に影響を与えるため、展開を優先しています」と Microsoft Edge セキュリティ マネージャーの Gareth Evans 氏は述べています。
「Secure Future イニシアチブへの取り組みとお客様からのフィードバックにより、私たちはより広い視野を持っています。これは、何かがセキュリティ問題のしきい値を満たしているかどうかだけでなく、徹底的なセキュリティの改善によって危険にさらされる可能性をどこで削減できるかを検討することを意味します。この場合、メモリ内のパスワードの危険にさらされることを減らすことは、その方向への実践的なステップです。」
このパッチはすでに Edge Canary チャネルで公開されており、サポートされているすべての Edge リリース (ビルド 148 以降) の次のアップデートに含まれる予定です。
Microsoftは昨年、Webブラウザにアップロードされた悪意のある拡張機能からユーザーを保護するための新しいEdgeセキュリティ機能も導入し、ハッカーがChakra JavaScriptエンジンのゼロデイエクスプロイトを利用してターゲットデバイスにアクセスし始めた後、EdgeのInternet Explorerモードへのアクセスを制限した。
自動テスト ツールは実際の価値を提供しますが、「攻撃者はネットワークを通過できるか?」という 1 つの質問に答えるために構築されています。これらは、コントロールが脅威をブロックしていること、検出ルールが機能していること、またはクラウド構成が適切であることを確認するために構築されたものではありません。
このガイドでは、実際に検証する必要がある 6 つの表面について説明します。
今すぐダウンロード
