In einem Post auf X macht Tom Jøran Sønstebyseter Rønning darauf aufmerksam, dass der Webbrowser Microsoft Edge Passwörter als Klartext im Speicher behält. Ist der Passwort-Manager in dem Webbrowser aktiviert, lässt sich das Passwort in Klartext anzeigen.

Möchten Nutzer ihre gespeicherten Passwörter im Webbrowser Edge angezeigt bekommen, müssen sie sich mit Windows hello authentifizieren. Allerdings lassen sich die Kennwörter über ein Speicherabbild des Webbrowsers und einem Hex-Editor in Klartext anzeigen.

Da ein derartiger Umgang mit Passwörtern im Prozessspeicher seit Langem nicht mehr Stand der Technik ist, sollte Microsoft hier schnell nachbessern. Es handelt sich dabei um die eigene Schwachstellenkategorie CWE-316, „Cleartext Storage of Sensitive Information in Memory“.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE