Microsoft กำลังดำเนินการอัปเดตเว็บเบราว์เซอร์ Edge เพื่อให้มั่นใจว่าจะไม่มีการโหลดรหัสผ่านที่บันทึกไว้เข้าไปยังหน่วยความจำของกระบวนการทำงาน ในรูปแบบ clear text เมื่อเริ่มเปิดโปรแกรมอีกต่อไป หลังจากที่ก่อนหน้านี้ระบุว่าเป็นการออกแบบโดยเจตนา
พฤติกรรมนี้ถูกเปิดเผยเมื่อวันที่ 4 พฤษภาคม โดยนักวิจัยด้านความปลอดภัยชื่อ Tom Jøran Sønstebyseter Rønning ซึ่งได้แสดงให้เห็นว่า ข้อมูล Credentials ทั้งหมดที่ถูกจัดเก็บไว้ใน Password Manager ของ Edge จะถูกถอดรหัสเมื่อเริ่มต้นใช้งาน และเก็บไว้ในหน่วยความจำแม้ว่าจะไม่ได้ใช้งานก็ตาม
นอกจากนี้ Rønning ยังได้เผยแพร่เครื่องมือพิสูจน์แนวคิด (PoC) ที่แสดงให้เห็นว่า ผู้โจมตีที่ได้รับสิทธิ์ผู้ดูแลระบบ จะสามารถดึงข้อมูลรหัสผ่านจากกระบวนการทำงานของ Edge ของผู้ใช้รายอื่นได้ (หากไม่มีสิทธิ์ผู้ดูแลระบบ PoC จะอนุญาตให้เข้าถึงเฉพาะ Edge processes ที่เปิดใช้งานโดยผู้ใช้คนเดียวกันเท่านั้น)
นักวิจัยยังระบุว่า ได้รายงานปัญหานี้ไปยัง Microsoft แล้ว และได้รับแจ้งว่าพฤติกรรมดังกล่าวเป็นการออกแบบโดยเจตนา ก่อนที่เขาจะเปิดเผยต่อสาธารณะ
นักวิจัยระบุว่า "Edge เป็นเบราว์เซอร์ที่ใช้ Chromium เพียงตัวเดียวเท่าที่ทดสอบแล้วมีพฤติกรรมในลักษณะนี้ ในทางกลับกัน Chrome ใช้การออกแบบที่ทำให้ผู้โจมตีดึงรหัสผ่านที่บันทึกไว้ได้ยากขึ้นมากจากการอ่านหน่วยความจำของกระบวนการทำงาน"
แม้ว่าในตอนแรก Microsoft จะปฏิเสธที่จะแก้ไขปัญหานี้ โดยระบุกับ BleepingComputer ในขณะนั้นว่า "นี่เป็นฟีเจอร์การทำงานปกติของแอปพลิเคชัน" แต่เมื่อวันพุธที่ผ่านมา Microsoft ได้ประกาศว่า Edge เวอร์ชันในอนาคต จะไม่มีการโหลดรหัสผ่านที่บันทึกไว้เข้าสู่หน่วยความจำตอนเริ่มเปิดโปรแกรมอีกแล้ว แม้ว่าสถานการณ์ที่รายงานมานั้นจะอยู่ใน threat model ที่มีอยู่ (ซึ่งไม่รวมถึงการโจมตีที่ผู้โจมตีมีสิทธิ์ควบคุมระดับผู้ดูแลระบบของอุปกรณ์อยู่แล้ว)
Gareth Evans หัวหน้าฝ่ายความปลอดภัยของ Microsoft Edge ระบุว่า "การเปลี่ยนแปลงเพื่อยกระดับการป้องกันเชิงลึกในครั้งนี้ จะถูกนำไปใช้กับ Edge ทุกเวอร์ชันที่ยังได้รับการสนับสนุนอยู่ (Stable, Beta, Dev, Canary รวมถึงช่องทาง Extended Stable ที่กลุ่มลูกค้าองค์กรใช้งาน) และจะให้ความสำคัญกับการเร่งปล่อยอัปเดตนี้"
"ด้วยความมุ่งมั่นที่มีต่อโครงการ Secure Future Initiative และการรับฟังข้อเสนอแนะจากลูกค้า ทำให้เรามองภาพในมุมที่กว้างขึ้น นั่นหมายถึงการพิจารณาไม่เพียงแค่ว่าสิ่งนั้นเข้าเกณฑ์ด้านความปลอดภัยหรือไม่ แต่ยังพิจารณาถึงจุดที่เราสามารถลดความเสี่ยงได้ด้วยการปรับปรุงการป้องกันเชิงลึก ในกรณีนี้ การลดโอกาสที่รหัสผ่านจะถูกเปิดเผยในหน่วยความจำ ถือเป็นก้าวสำคัญที่สามารถลงมือทำได้จริง"
การแก้ไขนี้ใช้งานได้แล้วใน Edge Canary channel และจะถูกรวมเข้าไว้ในการอัปเดตครั้งต่อไปสำหรับ Edge ทุกเวอร์ชันที่ได้รับการสนับสนุน (Build 148 และเวอร์ชั่นใหม่กว่า)
เมื่อปีที่ผ่านมา Microsoft ยังได้เปิดตัวฟีเจอร์ความปลอดภัยใหม่ของ Edge เพื่อปกป้องผู้ใช้จากส่วน Extensions อันตราย ซึ่งถูกติดตั้งเข้าไปในเว็บเบราว์เซอร์ พร้อมทั้งจำกัดการเข้าถึงโหมด Internet Explorer ของ Edge หลังจากที่กลุ่มแฮ็กเกอร์เริ่มหันมาใช้ประโยชน์จากช่องโหว่ Zero-day ใน Chakra JavaScript engine เพื่อเข้าถึงอุปกรณ์เป้าหมาย
ที่มา : bleepingcomputer
You must be logged in to post a comment.