마이크로소프트 입장 번복 마이크로소프트 엣지,비밀번호 메모리 로딩 중단

마이크로소프트는 이전에 이를 설계상 의도된 기능이라고 밝혔으나 마이크로소프트 엣지 웹 브라우저를 업데이트하여 시작 시 저장된 비밀번호를 평문으로 프로세스 메모리에 로딩하지 않도록 조치할 예정
해당 문제는 5월 4일 보안 연구원 톰 요란 손스테비세터 뢰닝(Tom Jøran Sønstebyseter Rønning)에 의해 공개되었으며 그는 엣지 내장 비밀번호 관리자에 저장된 모든 인증 정보가 실행 시 복호화되어 사용하지 않을 때도 메모리에 유지된다는 사실을 입증
뢰닝은 또한 관리자 권한을 가진 공격자가 다른 사용자의 마이크로소프트 엣지 프로세스에서 비밀번호를 추출할 수 있게 해주는 개념 증명(PoC) 도구를 공개
(관리자 권한이 없는 경우 PoC는 같은 사용자가 실행한 엣지 프로세스에만 접근할 수 있다.)
그는 또한 해당 문제를 마이크로소프트에 보고했으며 공개적으로 밝히기 전 해당 동작이 설계상 의도된 것 이라는 답변을 받았다고 밝혔다.
Microsoft Edge는 크로미움 기반 브라우저 중 유일하게 이런 방식으로 동작하는 브라우저
반면 Google Chrome은 공격자가 단순히 프로세스 메모리를 읽는 것만으로는 저장된 비밀번호를 추출하기 훨씬 어렵게 만드는 설계를 채택
초기에는 해당 문제를 해결하기를 거부하며 이는 애플리케이션의 예상되는 기능이라고 밝혔으나,

마이크로소프트 엣지

마이크로소프트는 수요일 보고된 시나리오가 예상되는 기존 위협 모델(공격자가 이미 기기에 대한 관리자 권한을 보유한 공격은 제외)에 해당하지만, 앞으로 엣지 버전에서는 시작 시 저장된 비밀번호를 메모리에 더는 로드하지 않을 것이라고 발표=
마이크로소프트 엣지 보안 책임자 가레스 에반스는 다층 방어(defense-in-depth) 변경 사항은 지원되는 모든 엣지 버전(Stable, Beta, Dev, Canary 및 기업 고객이 사용하는 Extended Stable 채널)에 적용될 예정이며, 우리는 이 업데이트 배포를 최우선으로 하고 있다. 고 말했다.

[소프트웨어 팁/보안 및 분석] - Microsoft Edge(마이크로소프트 엣지)실행 시 모든 비밀번호를 메모리에 평문으로 저장 문제 발생 중

Microsoft Edge(마이크로소프트 엣지)실행 시 모든 비밀번호를 메모리에 평문으로 저장 문제 발생 중

시큐어 퓨처 이니셔티브(Secure Future Initiative)에 대한 우리의 약속과 고객 피드백을 바탕으로 더 넓은 관점에서 접근하고 있다고 함
즉 특정 사항이 보안 문제의 기준을 충족하는지 여부뿐만 아니라 다층 방어 개선을 통해 노출 위험을 줄일 수 있는 부분이 어디인지도 살펴보고 있음
이번 경우 에는 메모리 내 비밀번호의 노출을 줄이는 것은 그러한 방향으로 나아가는 실질적인 조치
수정 사항은 이미 Edge Canary 채널에 적용 지원되는 모든 Microsoft Edge 릴리스(빌드 148 이상)의 다음 업데이트에 포함될 예정
마이크로소프트는 웹 브라우저에 사이드로드된 악성 확장 프로그램으로부터 사용자를 보호하기 위한 새로운 Microsoft Edge 보안 기능을 도입
해커들이 Chakra JavaScript 엔진의 제로데이 취약점을 악용해 대상 기기에 접근하기 시작하자 Edge의 Internet Explorer 모드에 대한 접근을 제한했음