以前、セキュリティ研究者の Tom Jøran Sønstebyseter Rønning 氏は、Microsoft の Microsoft Edge ブラウザは、起動時に保存されているすべてのアカウント パスワードをクリア テキストでメモリ プロセスに直接読み込むことを公表しました。 Microsoft はこれを脆弱性とはみなしておらず、セキュリティ研究者に脆弱性に対する報奨金を提供する予定がないため、研究者がこの問題を直接開示しました。
Googleは以前にも同様の間違いを犯しているため、この事件は実際のところ驚くべきことではない。 Google と Microsoft はどちらも、攻撃者がデバイスを制御できた時点では他のセキュリティ防御手段が失敗していると考えているため、メモリに保存されているアカウントのパスワードをマルウェアを通じて読み取ること自体はセキュリティ モデルの範囲内ではありません。
ただし、Microsoft は依然として改善の準備を行っています。
Microsoft チームはブログで、研究者によって明らかにされた問題に基づいて、起動時にパスワードがメモリに読み込まれないように Microsoft Edge ブラウザが改善されると述べました。この多層防御対策は、すべてのバージョン (すべてのチャネルのベータ版、正式バージョン、企業向けの拡張安定版を含む) を対象とします。
この改善は現在 Microsoft によって優先的に進められており、リリースされた Microsoft Edge Canary バージョンでは、ブラウザーの起動後にパスワードがメモリに読み込まれなくなります。 Microsoft Edge v148.0 の正式バージョンがリリースされた後、ユーザーはこの更新プログラムを通常どおりインストールして、セキュリティ防御対策を強化できます。
Microsoft が当初、これは脆弱性ではないと考えた理由:
Google と Microsoft の主な考慮事項は、デバイス自体のセキュリティが最も重要であるということです。この場合、研究者が明らかにした問題では、ソフトウェアが管理者権限を取得し、ローカルで実行してメモリ内のデータを読み取る必要があります。この悪用方法にはさまざまな利用シナリオがあります。 1. マルウェアはすでに管理者権限を取得して実行できます。 2. 共有デバイスでは、管理者アカウントは他の非アカウント データを読み取ることができます。
Microsoftによると、研究者らが報告したシナリオはすべて、攻撃者がデバイスを制御でき、攻撃者が安全でないソフトウェアをローカルで実行できることを想定しており、ブラウザやアプリケーションの防御機能では対処できないという。 Microsoft のパスワード マネージャーの脅威モデルでは、物理的なローカル攻撃や昇格された特権で実行されるマルウェアは考慮されていないと明確に述べられています。 Microsoftはまた、関連する利用シナリオでは攻撃者がブラウザを介して直接データを取得することはできないため、ブラウザの観点からは問題はないと強調した。
マイクロソフトは研究者にボーナスを支払わない問題についても次のように説明した。
Microsoft が脆弱性報告を無視し、この報告に対して脆弱性報奨金を提供しない理由は、Microsoft がブラウザのセキュリティに関して Google Chromium オープンソース プロジェクトと同じセキュリティ標準を採用しているためです。したがって、これは無効な脆弱性報告であるとみなされるため、当然、研究者に対して脆弱性報奨金は支給されません。
ただし、脆弱性報告書と研究者間のコミュニケーション プロセスにはまだ問題があり、たとえば、このセキュリティ上の欠陥自体は実際には改善として分類される可能性があるため、Microsoft は研究者報告書の処理方法を再検討し、その後、この点で得られた教訓と継続的なプロセスの改善を発表する予定です。