Microsoft Edge speichert Passwörter unverschlüsselt im Arbeitsspeicher

KI-Zusammenfassung

Der Passwort-Manager von Microsoft Edge hält Zugangsdaten im Klartext im Arbeitsspeicher, obwohl sie ansonsten verschlüsselt und durch Windows Hello geschützt erscheinen. Der norwegische Sicherheitsforscher Tom Jøran Sønstebyseter Rønning machte die Schwachstelle auf X publik; ein Redaktionstest von Heise bestätigte sie. Nach Browser-Neustart und ohne Nutzung der gespeicherten Daten ließ sich ein Testpasswort in einem 670 MByte großen Speicherabbild per Hex-Editor auslesen. Gängige Sicherheitsstandards schreiben vor, Passwörter erst zum Zeitpunkt der Verwendung zu entschlüsseln und umgehend wieder zu löschen. Microsoft lädt offenbar sämtliche gespeicherten Passwörter in den Speicher, sobald der Browser gestartet wird, unabhängig davon, ob die betreffenden Websites besucht werden.