Eine neue Sicherheitslücke im Microsoft Edge-Browser sorgt derzeit für Beunruhigung bei IT-Experten und Nutzern weltweit.
Ein Sicherheitsforscher hat kürzlich auf der Plattform X und auf GitHub demonstriert, dass Microsoft Edge gespeicherte Passwörter unmittelbar nach dem Programmstart unverschlüsselt im Arbeitsspeicher des Systems ablegt.
Potenziell betroffen von dem Problem sind alle aktuellen Microsoft Edge-Versionen, allerdings müssen die Angreifer Zugriff auf den Speicher des Systems haben. Gelingt dies, können die Passwörter ohne Eingabe von Anmeldedaten ausgelesen werden.
1:15
Chrome wird zum KI-Browser: Google stellt neue Gemini-Features vor
Microsoft Edge speichert alle Passwörter im Klartext im Speicher ab
Sobald der Browser gestartet wird, speichert er die sensiblen Daten im Klartext im Edge-Hauptprozess ab.
Problematisch sei dies vor allem dann, wenn mehrere Personen Zugriff haben oder eine Schadsoftware auf dem System läuft. Laut dem Forscher könnte ein Angreifer so die gespeicherten Passwörter der Nutzer auslesen und für kriminelle Aktivitäten verwenden.
Microsoft soll auf den Report mit »das ist so beabsichtigt« geantwortet haben. Bisher hat Microsoft offiziell keine Stellungnahme abgegeben. Es ist daher unklar, ob Microsoft doch an einer Lösung des Problems arbeitet.
Es gibt Hürden zur Ausnutzung
Neben einer aktuellen Version des Microsoft Edge-Browsers muss ein potenzieller Angreifer auch Zugriff auf das Gerät haben, auf dem der Browser läuft.
Mit normalen Rechten könnte ein Hacker die Daten des angemeldeten Benutzers auslesen. Erst mit den Rechten eines Administrators würde der Zugriff auf alle Nutzer ausgeweitet werden.
Nutzer von Microsoft Edge können sich gegen eine mögliche Ausnutzung der Lücke schützen. Ein Mittel bieten sogenannte Passkeys, die von immer mehr Webseiten unterstützt werden.
Zudem können viele Zugänge mit einer zweiten Sicherheitsüberprüfung zusätzlich abgesichert werden, die dann einen weiteren Code abruft, der von spezialisierten Apps generiert wird.
Auch der Wechsel zu einem anderen Passwortmanager wäre eine Option, die aber auch mit Aufwand verbunden sein könnte.
Es ist Welt-Passwort-Tag
Passend zu dieser aktuellen Sicherheitsdebatte erinnert uns der Welt-Passwort-Tag jedes Jahr am ersten Donnerstag im Mai daran, dass die erste Verteidigungslinie im Netz oft nicht die stabilste ist.
Während die Sicherheitslücke in Microsoft Edge zeigt, wie risikobehaftet die Speicherung von Anmeldedaten sein kann, ist der Aktionstag ein Appell, die eigenen Gepflogenheiten zu überprüfen und gegebenenfalls anzupassen: Die Nutzung von unabhängigen Passwortmanagern, das Aktivieren der Zwei-Faktor-Authentifizierung (2FA) und der Wechsel zu Passkeys sind die Antworten auf eine Bedrohungslage, in der ein einfaches Passwort allein oft kein ausreichendes Schloss mehr darstellt.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.