Microsoft Edge: Keine Klartext-Passwörter mehr im Browserprozess

Vor zwei Wochen schlug hohe Wellen, dass Microsofts Webbrowser Edge beim Start alle Passwörter aus dem Passwort-Manager lädt – und im Klartext im Prozessspeicher vorhält. Die Entwickler haben nach den Medienberichten reagiert, aktualisierte Browser-Versionen machen das nicht mehr.

In den Update-Notizen zu Microsoft Edge für das Update vom Freitag haben die Entwickler angegeben, das Problem gelöst zu haben. Dort schreiben sie, sie haben Änderungen am Passwort-Manager vorgenommen. Die sollen sicherstellen, dass Passwörter nicht mehr beim Browser-Start in den Speicher geladen werden. Ein Blog-Post liefert zudem weitere Informationen. Zunächst erklären die Programmierer, dass das Verhalten von Edge zuvor basierend auf den bestehenden Kriterien ins erwartete Bedrohungsmodell passe. Das Risiko entstehe dadurch, dass ein Angreifer das Gerät bereits kompromittiert habe. Dennoch sehe man Verbesserungspotenzial.

Als erste Maßnahme lädt Microsoft Edge nun beim Start die Passwörter nicht mehr in den Speicher. Die Verteilung des Updates erfolgt mit Priorisierung, für Microsoft Edge Version 148 und neuere. Wer den Edge-Passwort-Manager nutze, müsse nichts weiter machen, die Änderung solle durch den regulären Update-Kanal eintrudeln.

Microsoft Edge: Keine Klartext-Passwörter mehr im Browserprozess

Other newsrooms on this story

Related reading

Microsoft backpedals: Edge to stop loading passwords into memory

Se le vostre password sono su Microsoft Edge c’è qualcosa che dovreste sapere

Microsoft-Sicherheitslücke in Deutschland weit verbreitet - WELT

Microsoft Exchange: Zero-Day-Lücke wird angegriffen

Passwörter im Alltag oft unsicher – was schützt wirklich? - WELT

Microsoft Authenticator: Kritische Sicherheitslücke ermöglicht Token-Diebstahl