Passwort-Manager sollen Zugangsdaten sicher speichern und gleichzeitig den Alltag erleichtern. Browser synchronisieren Passwörter verschlüsselt über mehrere Geräte hinweg und entschlüsseln sie normalerweise nur für kurze Zeit, wenn sie benötigt werden. Beim Passwort-Manager von Microsoft Edge scheint das aber anders zu sein.
Der IT-Sicherheitsforscher Tom Jøran Sønstebyseter Rønning machte auf X darauf aufmerksam, dass Passwörter im Arbeitsspeicher von Edge im Klartext auffindbar sind. Heise hat einen einfachen Test durchgeführt, der das Problem bestätigt. Nach dem Anlegen eines Kontos mit dem Passwort „Klartext-PW-Test“ schützt Edge die gespeicherten Daten zwar mit einer Windows-Hello-Abfrage. Trotzdem bleibt das Passwort im Speicher des Browsers unverschlüsselt stehen.
Selbst nach einem Neustart von Edge und ohne die entsprechende Webseite aufzurufen, ließ sich über ein Speicherabbild des Browsers das Passwort mit einem Hex-Editor problemlos wiederfinden. Das Passwort wurde also im Klartext im Arbeitsspeicher gespeichert, obwohl es noch gar nicht aktiv verwendet wurde.
Aus Sicht der IT-Sicherheit ist das natürlich problematisch. Moderne Sicherheitskonzepte sehen vor, dass sensible Daten nur kurzzeitig entschlüsselt und anschließend wieder aus dem Speicher entfernt werden. Dass Edge offenbar sämtliche gespeicherten Passwörter vorab in den Speicher lädt, entspricht nicht den aktuellen Sicherheitsstandards. Die Schwachstelle fällt unter die Kategorie CWE-316 („Cleartext Storage of Sensitive Information in Memory“).
Allerdings, als Tom Rønning seinen Fund an Microsoft gemeldet hat, kam zurück. dass das Verhalten schon bekannt und als bewusste Design-Entscheidung eingestuft ist. Wer besonderen Wert auf Sicherheit legt, sollte daher alternative Passwort-Manager in Betracht ziehen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte den Passwort-Manager von Edge bei seinem Passwort-Manager-Test im Dezember nicht berücksichtigt. Bereits frühere Untersuchungen zu Passwort-Managern und VPN-Software hatten jedoch ähnliche Schwachstellen bei verschiedenen Produkten festgestellt.