Microsoft'tan Geri Adım: Edge'in Şifreleri RAM'de Açık Metin Olarak Saklama Hatası Düzeltildi

Microsoft, Edge tarayıcısının kullanıcı şifrelerini bilgisayar belleğinde (RAM) şifrelenmemiş, yani "açık metin" (plaintext) olarak sakladığına dair ortaya çıkan ciddi güvenlik açığını giderdi. Norveçli bir güvenlik araştırmacısı tarafından keşfedilen bu açık, yerel erişimi olan kötü niyetli kişilerin, şifreler o anki oturumda kullanılmasa bile tüm kayıtlı kimlik bilgilerine kolayca erişebilmesine olanak tanıyordu.

Güvenlik araştırmacısı Tom Jøran Sønstebyseter Rønning tarafından ifşa edilen açık, başlangıçta Microsoft tarafından "bilinçli bir tasarım kararı" olarak savunulmuştu. Ancak gelen tepkiler ve risklerin boyutunun ortaya çıkması üzerine yazılım devi, geri adım atarak bu durumu bir güvenlik açığı olarak kabul etti ve gerekli düzeltmeyi yayınladı.

Microsoft Edge'in şifre yöneticisi, normalde uçtan uca şifreleme kullanarak verileri güvenli bir şekilde saklamalı ve yalnızca ihtiyaç duyulunca şifreyi çözüp ardından silmelidir. Ancak Edge, tüm şifreleri şifrelenmemiş halde bellekte tutarak Chromium tabanlı diğer tarayıcılardan ayrılan tehlikeli bir yöntem izliyordu. Tarayıcı ayarlarında şifreleri görüntülemek için kimlik doğrulama istenmesi, RAM üzerinden doğrudan erişim sağlayan saldırganlar için hiçbir engel teşkil etmediği için bu durum büyük bir risk oluşturuyordu.

Microsoft, söz konusu güvenlik açığını Edge sürüm 148 ile birlikte tamamen kapattı. Uzden uzmanlar, tarayıcı tabanlı şifre yöneticileri yerine, daha yüksek güvenlik standartları çevresinde geliştirilmiş bağımsız şifre yöneticisi uygulamalarını kullanmayı öneriyor.