Команда признала проблему только после публикации разгромного отчёта.
Microsoft меняет работу менеджера паролей в Edge после публичного отчёта о том, что браузер при запуске загружал сохранённые пароли в память процесса в открытом виде. Компания не считает ситуацию серьёзной угрозой для пользователей, но решила сократить лишний риск и изменить механизм хранения чувствительных данных.
О проблеме ранее сообщил специалист Том Йоран Сёнстебисетер Рённинг. По данным Microsoft, описанный сценарий требует, чтобы злоумышленник уже получил контроль над устройством и мог запускать на нём вредоносные программы. Такой уровень доступа выходит за пределы модели угроз браузерного менеджера паролей, поскольку после компрометации системы любое приложение уже не может надёжно защитить данные самостоятельно.
Несмотря на такую оценку, Microsoft признала, что поведение Edge можно сделать безопаснее. Гарет Эванс из команды браузера сообщил, что Edge перестанет загружать сохранённые пароли в память при старте. Изменение уже появилось в Edge Canary и войдёт в ближайшее обновление всех поддерживаемых каналов, включая Stable, Beta, Dev, Canary и Extended Stable для корпоративных клиентов. Речь идёт о сборке 148 и более новых версиях.
Пользователям не нужно вручную менять настройки или переносить пароли. Обновление придёт через обычный канал доставки Edge. В Microsoft связывают доработку с программой Secure Future Initiative, в рамках которой компания пересматривает обработку чувствительных данных и снижает возможную поверхность атаки даже там, где формально нет новой уязвимости.
Microsoft также пересмотрит работу с сообщениями от специалистов. Компания признала, что первоначально опиралась на общие критерии Chromium, но хочет быстрее учитывать сценарии, где дополнительные защитные меры могут снизить риск для клиентов. В дальнейшем команда Edge пообещала точнее объяснять свои решения и раньше применять подход с многоуровневой защитой.