Die Sicherheitslücke betrifft eine grundsätzliche Design-Entscheidung bei Edge. Im Gegensatz zu Chrome und anderen Chromium-basierten Browsern lädt Edge sämtliche gespeicherten Passwörter unverschlüsselt ins RAM, sobald der Browser startet – unabhängig davon, ob der Nutzer diese tatsächlich benötigt. Forscher Rønning veröffentlichte sogar ein Proof-of-Concept-Tool, das es Angreifern mit Administratorrechten ermöglicht, Passwörter aus Edge-Prozessen auszulesen. Ohne Admin-Privilegien können mit dem Tool nur Passwörter aus Edge-Prozessen desselben Nutzers extrahiert werden.
Microsoft verteidigte die Praxis zunächst als sicherheitstechnisch akzeptabel, argumentierte aber nun mit der Initiative “Secure Future Initiative” und reagierte auf Kundenfeedback. Das Unternehmen kündigte an, dass die Aktualisierung sofort im Edge-Canary-Kanal verfügbar ist und mit Build 148 in alle unterstützten Versionen einfließt – inklusive Stable, Beta, Dev und des Extended Stable Channel für Enterprise-Kunden.
Edge-Sicherheitschef Gareth Evans betont, dass dies ein “Defense-in-Depth”-Ansatz sei. Das bedeutet: Auch wenn ein Szenario technisch innerhalb des erwarteten Bedrohungsmodells liegt, werden zusätzliche Schutzmaßnahmen implementiert. Die Neubewertung zeigt, dass Microsoft seine Sicherheitsstrategie neu kalibriert – möglicherweise auch unter Druck von Sicherheitsforschern und Nutzern.
Besonders bemerkenswert ist, dass Edge unter Chromium-basierten Browsern bislang das einzige Projekt mit dieser kritischen Speicherhändling-Problematik war. Chrome und andere Implementierungen nutzen Design-Ansätze, die eine Extraktion deutlich erschweren.
Diese Korrektur ist Teil einer längeren Serie von Sicherheitsverbessern bei Microsoft. Kürzlich führte der Konzern auch Schutzmaßnahmen gegen bösartig seitlich geladene Extensions ein und schränkte den Internet-Explorer-Mode in Edge ein, nachdem Angreifer Zero-Day-Exploits im Chakra-JavaScript-Motor ausnutzten.