先前有資安研究人員踢爆,微軟 Edge 瀏覽器在啟動時,會將所有儲存的帳號密碼以「明文」形式直接載入記憶體中,引發安全疑慮。然而,微軟官方起初並不將此視為漏洞,更拒絕發放抓漏獎金。儘管微軟嘴上不認帳,但身體卻很誠實,近期仍默默宣布將在後續版本中修復此問題,加強深度防禦機制。
記憶體明文惹議,微軟與 Google 的「威脅模型」盲點
這起事件的吹哨者,資安研究員 Tom Jøran Sønstebyseter Rønning 在得不到微軟官方的正面回應後,決定將這項安全缺陷公諸於世。
事實上,類似的錯誤 Google 過去也曾犯過。微軟與 Google 的核心資安邏輯如出一轍:他們認為,當駭客有能力在本地端執行惡意軟體並讀取記憶體數據時,代表設備本身的最高管理權限早已淪陷。在這種「整台電腦都被控制」的極端情況下,瀏覽器層級的防護根本無能為力。
基於上述的「威脅模型(Threat Model)」,微軟明確指出,需要提升權限才能執行的本地端惡意攻擊,原本就不在密碼管理員的防護考量範圍內。微軟強調,駭客並非透過瀏覽器本身的漏洞直接竊取數據,因此從瀏覽器的架構設計來看,這項機制並沒有任何實質錯誤。這也是為什麼微軟在第一時間選擇忽略該份報告,並認定這不符合發放漏洞獎金的標準。
防禦機制再升級,Edge v148.0 將全面封堵破口
雖然微軟堅稱這不是漏洞,但為了平息外界疑慮,開發團隊仍決定採取「深度防禦措施」進行補救。
微軟在官方部落格中承諾,未來的 Edge 瀏覽器在啟動時,將不再把密碼載入記憶體中。目前這項改進已被列為優先推進事項,並已在最新的 Edge Canary 測試版中實裝;預計到 Edge v148.0 正式版發布後,所有一般用戶都能透過更新獲得這項安全防護。
針對此次不發放獎金所引發的公關危機,微軟坦言內部與研究人員的溝通流程確實存在瑕疵。即使該缺陷無法被定義為嚴重的安全漏洞,但依然能被歸類為有價值的「產品改進」建議。
微軟承諾將重新檢視處理資安通報的流程,並在未來公布相關的經驗教訓,以期建立更完善的漏洞通報機制,挽回開發者社群的信任。
雖然從嚴格的技術定義來看,必須取得管理員權限才能讀取記憶體,確實不屬於瀏覽器本身的漏洞。但在「零信任(Zero Trust)」架構當道的今天,軟體開發商理應假設每一道防線都有可能被突破;將敏感的密碼以毫無加密的明文狀態大剌剌地放在記憶體中,無疑是給了惡意軟體一個太過輕易的突破口。
- 延伸閱讀:微軟確認重構 Microsoft Edge 介面:全面導入 Copilot AI 圓角風格與 Bing 設計語言
- 延伸閱讀:Edge藏這招!免裝VPN軟體,公用Wi-Fi上網隱私秒升級!
- 延伸閱讀:Google 推出免費 AI 語音轉文字神器 AI Edge Eloquent,主打離線操作還能自動潤飾文章
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!