0
עקבו אחרינו
Microsoft Edge כנראה שומר את הסיסמאות שלך בזיכרון שלה כטקסט ברור על פי חוקר אבטחת סייבר נורבגי. זה משנה כי זה אומר ששחקן זדוני יכול לראות את כל הסיסמאות שלך אם הם מקבלים גישה למחשב האישי שלך.
החוקר, Tom Jøran Sønstebyseter Rønning (זהה על ידי חברינו ב-PC Gamer), פרסם שרשור ב-X המסביר כיצד הדפדפן מפענח "כל אישור בעת ההפעלה" ואז שומר אותם בזיכרון התהליך. זה קורה אפילו עבור אתרים שאתה לא מבקר באותו הפעלה.
המאמר ממשיך להלן
"Edge הוא הדפדפן היחיד מבוסס Chromium שבדקתי שמתנהג כך", אמר Rønning.
שיהיה ברור, זה לא זמין לאף אחד פשוט להיתקל בו. אתה צריך קצת ידע וגישה אדמיניסטרטיבית לשרת הטרמינל, כבר פריצה ענקית. ברגע שזה נעשה, שחקן גרוע "יכול לגשת לזיכרון של כל תהליכי המשתמש המחוברים".
"לפי עיצוב"
רונינג פרסם שהוא חשף את הפגם הזה למיקרוסופט ונאמר לו שההתנהגות היא "בתכנון". ונראה שזה ידוע.
בשרשור קשור, משתמש X LopezLucio666 הגיב שהם דיווחו על הפגם בספטמבר 2025. על פי תקרת מסך שפרסמו, מרכז התגובה האבטחה של מיקרוסופט (MSRC) ראה כי הפגם "אינו פגיעות ושום גבול אבטחה לא נחצה".
ההודעה אומרת שהיכולת לקרוא זיכרון Edge דורשת הרשאות "זהות או גדולות יותר".
למיקרוסופט יש שאלות נפוצות בנושא אבטחת מנהל סיסמאות שאכן מטפל בבעיה. "גם אם לתוקף יש זכויות אדמין או גישה לא מקוונת והוא יכול להגיע לנתונים המאוחסנים מקומית, המערכת נועדה למנוע מהתוקף לקבל את סיסמאות הטקסט הפשוט של משתמש שאינו מחובר."
עם זאת, זה לא עושה כלום למשתמשים שמחוברים.
החברה הוסיפה כי הגישה של הדפדפן לנתוני סיסמאות בזיכרון מאפשרת כניסה מהירה ומאובטחת, "תכונה צפויה של האפליקציה".
לפי מחקר של Rønning ואחרים, ייתכן שהמערכת לא עושה מספיק כדי למנוע מתוקפים את היכולת לגשת לסיסמאות ברורות.
בינתיים, אנו ממליצים להשתמש באחד ממנהלי הסיסמאות הטובים ביותר במקום לאחסן אותם ב-Edge או בכל דפדפן אחר לצורך העניין.
הצהרת מיקרוסופט
