米Microsoftは5月14日(現地時間)、同社がWindows標準ブラウザとして採用する「Microsoft Edge」におけるセキュリティへの取り組みとして、パスワードの取り扱いをより安全なものにしていくと発表した。
-
Microsoft Edge、パスワードを平文でメモリに読み込んで保存する挙動を修正へ
「Microsoft Edgeを起動するとセキュリティ認証なく、ブラウザに保存されているすべてのパスワードが平文に復元され、メモリの中に読み込まれたままになる」として、セキュリティ研究者のTom Jøran Sønstebyseter Rønning氏が指摘していた内容。
同氏がメモリから保存されたパスワード取り出すデモを行い、Microsoftに質問したところ「仕様の通りです」との返答を受け、これを海外テック媒体が広く報道。Chromiumを採用する他のブラウザと比較しても特異な“仕様”であるとして批判を受けていた問題で、今回解消に動いた形だ。
この変更はStable、Beta、Dev、Canaryチャネルのすべてで最優先に適用するとしており、すでにEdge Canaryにリリース済み。通常用いられてるStable環境ではビルド148以降のアップデートに統合して配布するとしている。
なお、パスワードがメモリの中に復元された形で保存されてしまっているとはいえ、必ずしも脅威にさらされているわけではない。研究者が示したデモではすでに攻撃者が被害者のデバイスを制御しており、攻撃者がインターネット経由でブラウザそのものを通じて認証情報にアクセスできるわけではないとMicrosoftは主張している。
発表に寄せてMicrosoftは、「We thank the security research community for raising concerns. We take your reports seriously and remain focused on earning and keeping our customers’ trust(セキュリティ研究コミュニティの皆様が懸念を表明してくださったことに感謝いたします。私たちは皆様の報告を真摯に受け止め、引き続きお客様の信頼を獲得・維持することに全力を注いでまいります)」と述べている。
