Sicherheitslücke in Microsoft Edge: Passwörter werden im Klartext im Arbeitsspeicher gespeichert

Wird Login abgefragt, muss lediglich Master-Passwort eingegeben werden, Zugriff auf alle gespeicherten Einträge zu bekommen.\r Edge-Browser zeigt Passwörter Klartext\r [twitter 2051308329880719730]\r \r Normalerweise birgt das kaum ein nennenswertes Risiko für User:innen.

Sicherheitsforscher Tom Jøran Sønstebyseter Rønning zeigt allerdings auf X, dass Edge-Browser eine gravierende Sicherheitslücke Bezug auf Passwortmanager aufweist. Er hat Tool entwickelt, mit dem sich Passwörter Edge ganz einfach auslesen lassen. Dafür muss er keinerlei Sicherheitsmaßnahmen umgehen.

Denn die meiste "Arbeit" leistet Edge dabei selbst.\r \r Sicherheitsforscher schreibt dazu: "Wenn Passwörter Edge speicherst, entschlüsselt Browser alle Logins, sobald er gestartet wird, und behält sie anschließend Prozessspeicher. Das passiert auch, wenn du keine einzige Webseiten besuchst, die eine Logindaten benötigen würden.

Gleichzeitig erfragt Edge , bevor Passwörter

Gleichzeitig erfragt Edge , bevor Passwörter Passwortmanager-Interface angezeigt werden können – dabei hat Browser sie schon alle Klartext Verfügung".\r \r [crosslinks]\r \r Sein Tool liest also Grunde nur Klartextdaten aus, Edge in Prozessspeicher lädt, sobald Browser gestartet wird. Rønning ergänzt, dass sich Problem dabei offenbar nur Edge beschränkt.

Andere Browser, die ebenfalls Chromium basieren – Google Chrome – entschlüsseln Passwörter nur dann, wenn sie für einen Login benötigt werden. Zudem gibt es weitere Sicherheitsmaßnahmen, die verhindern, dass andere Programme Schlüssel nutzen können, Passwörter zu entschlüsseln.\r \r Tool Auslesen Passwörter hat Rønning GitHub veröffentlicht.

Er betont, dass es nur Lehrzwecken genutzt werden sollte und nicht, Passwörter :innen abzugreifen. Dafür wäre es auch notwendig, Adminzugriff auf das jeweilige Endgerät zu bekommen. Rønning versuchte zwar, Vorgang auch ohne selbige Rechte durchzuführen, blieb aber erfolglos.

Zweifel müssten sich Angreifer:innen also Zugriff auf Gerät verschaffen oder erst durch einen anderen Exploit Adminrechte erhalten, um Passwörter auslesen zu können.\r Sinnvolle und weniger sinnvolle Passworttipps\r [articlegallery id="72"]