Anteriormente, o pesquisador de segurança Tom Jøran Sønstebyseter Rønning divulgou publicamente que o navegador Microsoft Edge da Microsoft carregará todas as senhas de contas salvas em texto não criptografado diretamente no processo de memória quando for iniciado. O pesquisador divulgou diretamente esse problema porque a Microsoft não considera isso uma vulnerabilidade e, portanto, não tem planos de fornecer recompensas de vulnerabilidade aos pesquisadores de segurança.
Na verdade, este incidente não é surpreendente, porque o Google já cometeu erros semelhantes antes. Tanto o Google quanto a Microsoft acreditam que quando o invasor conseguiu controlar o dispositivo, outras medidas de defesa de segurança falharam, portanto, a leitura da senha da conta salva na memória por meio do próprio malware não está no escopo do modelo de segurança.
No entanto, a Microsoft ainda se prepara para fazer melhorias:
A equipe da Microsoft afirmou em blog que com base nos problemas divulgados pelos pesquisadores, o navegador Microsoft Edge será aprimorado para que as senhas não sejam carregadas na memória na inicialização. Esta medida de defesa profunda cobrirá todas as versões (incluindo versões beta de todos os canais, versões oficiais e versões estáveis estendidas para empresas).
Esta melhoria está sendo promovida pela Microsoft como prioridade, portanto, na versão lançada do Microsoft Edge Canary, as senhas não serão mais carregadas na memória após o navegador ser iniciado. Após o lançamento da versão oficial do Microsoft Edge v148.0, os usuários poderão instalar esta atualização normalmente para obter medidas de defesa de segurança aprimoradas.
Por que a Microsoft inicialmente pensou que isso não era uma vulnerabilidade:
As principais considerações do Google e da Microsoft são que a segurança do próprio dispositivo é a mais importante. Nesse caso, o problema divulgado pelo pesquisador exige que o software obtenha direitos de administrador e execute-o localmente para ler os dados na memória. Este método de exploração possui diferentes cenários de utilização: 1. O malware já pode obter direitos de administrador para ser executado; 2. No dispositivo compartilhado, a conta do administrador pode ler outros dados que não sejam da conta.
A Microsoft disse que todos os cenários relatados pelos pesquisadores presumem que um invasor é capaz de controlar o dispositivo e que o invasor é capaz de executar software inseguro localmente, que não pode ser resolvido pelo navegador ou pelos recursos de defesa de qualquer aplicativo. O modelo de ameaça do gerenciador de senhas da Microsoft afirma claramente que ataques físicos locais e malware executados com privilégios elevados não são considerados. A Microsoft também enfatizou que o cenário de utilização relevante não permite que o invasor obtenha dados diretamente através do navegador, portanto não há problema do ponto de vista do navegador.
A Microsoft também explicou o problema de não pagar bônus aos pesquisadores:
A razão pela qual a Microsoft ignora os relatórios de vulnerabilidade e não fornecerá recompensas de vulnerabilidade para este relatório é que a Microsoft adota os mesmos padrões de segurança do projeto de código aberto Google Chromium em termos de segurança do navegador. Portanto, uma vez que se considera que este é um relatório de vulnerabilidade inválido, naturalmente não fornecerá recompensas de vulnerabilidade aos investigadores.
No entanto, como ainda existem problemas com o processo de comunicação entre os relatórios de vulnerabilidade e os investigadores, por exemplo, esta falha de segurança em si pode, na verdade, ser classificada como uma melhoria, pelo que a Microsoft irá reexaminar a forma como lida com os relatórios dos investigadores, e a Microsoft irá posteriormente anunciar lições aprendidas e melhorias contínuas no processo a este respeito.