![[bouncer]](faces/lomore/bouncer.gif)
up緊,就快得
河北採花賊
27日
挪威安全研究員 Tom Jøran Sønstebyseter Rønning 指控 Microsoft Edge 瀏覽器存在嚴重安全風險,該瀏覽器會將用戶保存的所有帳戶密碼,在未經加密的情況下以「明文」(Plain Text)形式駐留在電腦系統記憶體(RAM)中。沒想到 Microsoft 回覆指︰「非漏洞、屬預期設計」。
據《Internet Storm Center》報告指出,該研究員針對 Edge 147.0.3912.98 版本的測試顯示,瀏覽器在啟動瞬間會自動解密所有已存密碼,並將其存放於程序的記憶體中。即便用戶在該次執行期間完全沒有瀏覽相關網站,這些明文資料亦會持續駐留,不會被系統清除。
研究員強調,此類設計在現今主流瀏覽器中極為罕見。以同為 Chromium 核心的 Google Chrome 為例,系統僅會在用戶主動要求「自動填寫」或查看密碼時,才對特定條目進行解密,並在完成操作後立即清除記憶體內的明文紀錄。此外,Chrome 亦設有「應用程式綁定加密」機制,將解密權限鎖定於認證後的特定程序,防護等級明顯較高。
針對此項發現,Microsoft 在回應研究員時明確表示,這並非 Bug,而是刻意為之的功能。官方解釋,該設計是為了優化用戶登入時的效能體驗,讓系統能更快速地調用資料,屬於預期內的功能表現。
Microsoft 進一步補充,若要觸發此類資料外洩,前提是攻擊者已獲取該裝置的本機存取權限或已植入惡意程式,因此建議用戶應專注於及時更新系統修補程式,並避免執行來源不明的檔案。
然而,Microsoft 的解釋受到全球安全專家討伐。攻擊者只需透過簡單的「記憶體傾印」(Memory Dump)操作即可大量竊取密碼,尤其在共享電腦的多人環境下,風險更會倍增。該研究員已於 GitHub 發布測試工具供公眾自查,只要使用簡單功能即可取得瀏覽器存放的密碼。
安全專家呼籲用家立即刪除 Edge 瀏覽器內儲存的所有密碼紀錄,停用 Edge 並轉用其他更安全的瀏覽器。用家們要團結起來,迫使 Microsoft 承認錯誤,向 Microsoft 說不。
![[sosad]](/faces/sosad.gif)
![[369]](/faces/369.gif)
![[banghead]](/faces/banghead.gif)
