Microsoftは、Edge Webブラウザのアップデートを行い、起動時に保存済みパスワードをプロセスメモリに平文(クリアテキスト)で読み込む動作を停止させる [1, 2]。
この変更は、権限のない攻撃者がコンピュータのメモリから機密性の高い資格情報を抽出できる潜在的な脆弱性に対処するものだ。平文での読み込みを排除することで、メモリスクレイピング攻撃によるパスワード盗難のリスクを低減させる。
今回のアップデートは、同ブラウザの保存データの取り扱いに関する精査期間を経て決定された。以前の報告では、Edgeはアプリケーションが起動した直後に、これらのパスワードを暗号化されていない形式でメモリに読み込んでいたことが指摘されていた [1, 2]。
Microsoftは当初、この挙動について「設計通り(by design)」であると回答していた [3]。当時、同社はこの実装がセキュリティ上の懸念を構成するものではないとしていたが [3]、今回のポリシー変更は、ユーザーデータをより適切に保護するためにその立場を翻したことを示している [1, 2]。
セキュリティ研究者は、メモリ上の平文データは十分な権限を持つ他のプロセスからアクセス可能であるため、極めて危険であるとしばしば指摘している。Edgeにおけるこの特定の挙動は、攻撃者がブラウザのディスク上の暗号化ストレージを解読することなく、パスワードを奪取できる機会を与えていた [1]。
Microsoftは全ユーザーへの具体的な展開日は提供していないが、このアップデートにより、起動シーケンス全体を通じて資格情報が保護されることが意図されている [1, 2]。
“Microsoftは、Edge Webブラウザのアップデートを行い、起動時に保存済みパスワードをプロセスメモリに平文で読み込む動作を停止させる。”
今回のアップデートは、Microsoftの「セキュリティ・バイ・デザイン」へのアプローチの変化を象徴している。同社は当初、平文での読み込みを意図的な機能として正当化していたが、メモリへの読み込みを暗号化または省略する方向へ転換したことは、メモリダンプ攻撃の脅威が、以前の設計による運用上の利便性を上回ると認めたことを意味する。
