Ein Sicherheitsforscher hat eine beunruhigende Schwachstelle in Microsofts Browser Edge aufgedeckt: Der Chromium-basierte Browser speichert sämtliche im integrierten Passwort-Manager hinterlegten Kennwörter im Klartext im Arbeitsspeicher – und das nicht nur während der aktiven Nutzung, sondern dauerhaft, solange der Browser geöffnet ist. Der Befund sorgt in der IT-Security-Community für erhebliche Aufregung und hat innerhalb kürzester Zeit Hunderte von Kommentaren und Reaktionen ausgelöst.
Was genau ist das Problem?
Wenn ein Passwort-Manager Zugangsdaten im RAM vorhält, sollte dies grundsätzlich nur verschlüsselt oder zumindest nur für den Bruchteil einer Sekunde im Klartext geschehen, in dem das Passwort tatsächlich benötigt wird. Edge hingegen scheint alle gespeicherten Passwörter dauerhaft unverschlüsselt im Arbeitsspeicher zu halten. Das bedeutet: Jeder Prozess oder jede Schadsoftware, die Lesezugriff auf den Speicherbereich des Edge-Prozesses erlangt, kann theoretisch alle gespeicherten Kennwörter auf einmal auslesen – ohne dass der Nutzer das Passwort aktiv verwendet oder auch nur die entsprechende Website besucht hat.
Angriffe dieser Art sind unter dem Begriff Memory Scraping bekannt und werden bereits seit Jahren von Malware wie Infostealer-Trojanern eingesetzt. Gerade im Windows-Umfeld existieren zahlreiche Techniken, mit denen Schadprogramme den Speicher anderer Prozesse auslesen können – etwa über die Windows-API-Funktion ReadProcessMemory. Ein Browser, der Passwörter dauerhaft im Klartext im RAM vorhält, ist damit ein besonders attraktives Angriffsziel.
Einordnung: Wie verhalten sich andere Browser?
Im Vergleich dazu versuchen andere Browser und Passwort-Manager, sensible Daten im Speicher so kurz wie möglich im Klartext zu halten und sie nach Gebrauch wieder zu überschreiben oder zu verschlüsseln. Dedizierte Passwort-Manager wie Bitwarden oder 1Password arbeiten mit sogenannten Memory Protection-Techniken, die den Zugriff auf sensible Speicherbereiche zusätzlich absichern. Dass ein großer, weit verbreiteter Browser wie Edge hier offenbar grundlegende Sicherheitsprinzipien vernachlässigt, ist aus Expertensicht schwer nachvollziehbar.
Microsoft Edge ist mit einem globalen Marktanteil von rund 5 Prozent der zweitbeliebteste Desktop-Browser weltweit und auf praktisch jedem Windows-Rechner vorinstalliert. Viele Unternehmensumgebungen setzen Edge als Standardbrowser ein, was das Risikopotenzial dieser Schwachstelle erheblich vergrößert. Gerade in Unternehmensnetzen, wo Angreifer nach einem initialen Zugang gezielt nach Zugangsdaten suchen, könnten gespeicherte Browser-Passwörter eine Goldgrube darstellen.
Was sollten Nutzer jetzt tun?
Bis Microsoft eine offizielle Stellungnahme veröffentlicht oder einen Patch bereitstellt, empfehlen Sicherheitsexperten, den integrierten Passwort-Manager von Edge nicht für das Speichern sensibler Zugangsdaten zu nutzen. Stattdessen sollten dedizierte Passwort-Manager bevorzugt werden, die explizit auf Speicherschutz ausgelegt sind. Darüber hinaus ist es generell ratsam, die Angriffsfläche durch den Einsatz von Endpoint-Security-Lösungen zu minimieren, die verdächtige Speicherzugriffe erkennen und blockieren können.
Die Entdeckung reiht sich in eine Serie von Sicherheitsproblemen bei Browser-integrierten Passwort-Managern ein. Bereits in der Vergangenheit wurden ähnliche Schwachstellen in Chrome und anderen Browsern dokumentiert. Die Debatte zeigt einmal mehr: Bequemlichkeit und Sicherheit stehen beim Thema Passwort-Speicherung im Browser oft im Widerspruch. Eine offizielle Reaktion von Microsoft steht zum Zeitpunkt der Veröffentlichung dieses Artikels noch aus.
Quellen: Hacker News