安全研究员 Tom Jøran Sønstebyseter Rønning 发现,Microsoft Edge 启动时会将所有已保存的密码解密并明文加载到内存,在整个会话期间保持明文,即使用户从未访问需要这些凭证的网站。该行为在此前测试的其它 Chromium 浏览器中均未出现,Chrome 仅在需要时解密密码且配合应用绑定加密。
攻击者若获得管理员权限,即可读取 Edge 进程内存,甚至提取终端服务器上其他登录用户的密码。微软回应称该就是这样设计的。
原文链接:https://www.he6.net/11668.html,转载请注明出处。