此前安全研究人员 Tom Jøran Sønstebyseter Rønning 公开披露微软的 Microsoft Edge 浏览器会在启动时将所有已经保存的账户密码以明文形式直接加载到内存进程中,研究人员直接公开这个问题是因为微软不认为这是漏洞,因此也没有计划向安全研究人员提供漏洞奖励。
这件事其实并不让人意外,因为Google以前也犯过类似的错误,Google和微软都认为在攻击者已经能够控制设备的情况下,其他安全防御措施已经失效,所以像是通过恶意软件读取内存中保存的账号密码本身就不在安全模型考虑范围内。
不过微软还是准备进行改进:
微软团队在博客中表示,根据研究人员披露的问题将对 Microsoft Edge 浏览器进行改进,改进后不会在启动时将密码加载到内存中,这项深度防御措施将覆盖所有版本 (包括所有频道的测试版、正式版以及适用于企业的扩展稳定版)。
目前这项改进还被微软作为优先事项进行推进,所以在已经发布的 Microsoft Edge 金丝雀版中,浏览器启动后不会再将密码加载到内存中,到 Microsoft Edge v148.0 正式版发布后,用户正常安装此更新即可获得改进后的安全防御措施。
为什么微软最初认为这不是漏洞:
Google和微软的核心考虑都是设备本身的安全性才是最重要的,在本次案例中研究人员披露的问题需要通过软件获得管理员权限并在本地运行读取内存中的数据,这种利用方式有不同的利用场景:1. 恶意软件已经可以获得管理员权限运行;2. 在共享使用的设备上管理员账户可以读取其他非账户的数据。
微软称研究人员报告的场景前提都是攻击者能够控制设备,而攻击者能够在本地运行不安全的软件的情况下,浏览器或任何应用程序的防御能力都无法应对,微软的密码管理器威胁模型明确指出,物理上的本地攻击和以提升权限运行的恶意软件不在考虑范围内。微软也强调相关利用场景并非攻击者通过浏览器直接获得数据,因此从浏览器角度而言这是没有任何问题的。
微软还解释不给研究人员发奖金的问题:
微软忽略漏洞报告并不会为这份报告提供漏洞奖金的根源在于,微软在浏览器安全方面采用与Google Chromium 开源项目相同的安全标准,因此既然认定这是无效的漏洞报告自然也不会为研究人员提供漏洞奖金。
但因为漏洞报告与研究人员的沟通流程仍然存在问题,像是本次的安全缺陷本身其实可以被归类为改进,所以微软将重新审视处理研究人员报告的方式,后续微软将公布这方面的经验教训和正在进行的流程改进。