Eine erhebliche Sicherheitslücke im Passwort-Manager des Microsoft-Browsers Edge sorgt für Aufsehen: Gespeicherte Zugangsdaten liegen im Arbeitsspeicher unverschlüsselt als Klartext vor – selbst dann, wenn die entsprechenden Webseiten gar nicht geöffnet wurden. Entdeckt wurde das Problem vom Sicherheitsforscher Tom Jøran Sønstebyseter Rønning, der es über den Kurznachrichtendienst X öffentlich machte. Tests bestätigten die Schwachstelle: Mit einem simplen Speicherabbild über den Windows-Taskmanager und einem Hex-Editor ließen sich Passwörter problemlos im Klartext auslesen – obwohl Edge nach außen hin durch Windows Hello abgesichert wirkt.
Nach modernen Sicherheitsstandards sollten Passwörter im Arbeitsspeicher grundsätzlich nur im Moment ihrer tatsächlichen Verwendung kurzzeitig entschlüsselt vorliegen. Microsofts Vorgehensweise, sämtliche gespeicherten Zugangsdaten dauerhaft ungeschützt vorzuhalten, gilt als grober Verstoß gegen etablierte Sicherheitspraktiken und fällt unter die Schwachstellenkategorie CWE-316. Besonders brisant: Laut dem norwegischen Technikportal Itavisen.no soll Microsoft auf die Meldung geantwortet haben, es handele sich um eine bewusste Design-Entscheidung. Das Bundesamt für Sicherheit in der Informationstechnik hatte den Edge-Passwortmanager bei einem Test im Dezember vergangenen Jahres bereits ausgeklammert. Nutzern wird geraten, auf alternative Passwort-Manager auszuweichen.