Spoločnosť Microsoft reaguje na nedávne bezpečnostné zistenie týkajúce sa prehliadača Microsoft Edge, v ktorom sa ukázalo, že uložené heslá mohli byť v určitých prípadoch prítomné v pamäti ako nešifrovaný (plain text) obsah.
Zistenie okamžite vyvolalo otázky o tom, či ide o bezpečnostnú chybu, alebo zámerné správanie systému. Microsoft sa najskôr snažil upokojiť situáciu s tým, že ide o očakávaný stav v rámci navrhnutého bezpečnostného modelu.
Microsoft tvrdí: problém bol „v rámci očakávaného modelu“
V novom oficiálnom vyjadrení v rámci Microsoft Browser Vulnerability Research spoločnosť uviedla, že toto správanie „spadá do očakávaného threat modelu“. Inými slovami, problém sa podľa Microsoftu prejavuje až v situácii, keď má útočník už administrátorské oprávnenia na zariadení.
Z pohľadu firmy ide teda o scenár, kde je systém už kompromitovaný – napríklad malvérom s vysokými oprávneniami – a samotné uloženie hesiel v pamäti nie je primárnym vektorom útoku. Napriek tomu Microsoft uznal, že ide o priestor na zlepšenie a bezpečnostný model chce ďalej posilniť.
Prichádza aktualizácia, ktorá mení správanie Edge
Spoločnosť už pripravuje prioritnú aktualizáciu pre všetky podporované verzie Edge (od verzie 148 a vyššie), ktorá má zmeniť spôsob práce s heslami v pamäti.
Nová verzia prehliadača už nebude načítavať heslá do pamäte v podobe čistého textu. Cieľom je znížiť riziko ich prípadného zneužitia, ak by došlo k úniku pamäťového obsahu.
Microsoft zároveň zdôrazňuje, že update bude distribuovaný naprieč všetkými kanálmi Edge a používatelia nebudú musieť vykonať žiadne manuálne kroky.
Bezpečnosť ako „defense-in-depth“ stratégia
Vysvetlenie Microsoftu zapadá do širšej stratégie nazývanej Secure Future Initiative, v rámci ktorej sa firma snaží zvyšovať úroveň ochrany aj v prípadoch, ktoré nie sú tradične klasifikované ako kritické zraniteľnosti. Spoločnosť uviedla, že moderný prístup k bezpečnosti neznamená len riešenie priamych chýb, ale aj postupné znižovanie potenciálnych rizík v rámci viacvrstvovej ochrany systému.
V praxi to znamená, že aj keď by samotný problém nebol považovaný za závažný exploit, Microsoft sa rozhodol znížiť „expozíciu“ citlivých dát, ako sú heslá, v systémovej pamäti.
Používatelia nemusia nič riešiť
Dobrou správou je, že používatelia, ktorí si ukladajú heslá priamo v Microsoft Edge, nemusia robiť žiadne kroky. Oprava sa má aplikovať automaticky a bez zásahu zo strany používateľa. Microsoft zároveň neprezradil detailné technické zmeny v správe hesiel, no potvrdil, že cieľom je zvýšiť celkovú odolnosť prehliadača voči potenciálnym útokom a zneužitiu pamäte.
Aj keď spoločnosť situáciu pôvodne nepovažovala za kritickú chybu, aktuálny krok naznačuje, že tlak na vyššiu bezpečnosť v prehliadačoch sa neustále zvyšuje a aj „okrajové“ riziká dostávajú rýchlu pozornosť.
