🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Microsoft está atualizando o navegador Edge para garantir que ele não carregue mais senhas salvas na memória do processo em texto não criptografado na inicialização, após declarar anteriormente que era "por design".
Esse comportamento foi divulgado em 4 de maio pelo pesquisador de segurança Tom Jøran Sønstebyseter Rønning, que demonstrou que todas as credenciais armazenadas no gerenciador de senhas integrado do Edge foram descriptografadas na inicialização e mantidas na memória mesmo quando não estavam em uso.
Rønning também lançou uma ferramenta de prova de conceito (PoC) que permitiria que invasores com privilégios de administrador despejassem senhas de processos Edge de outros usuários (sem privilégios de administrador, o PoC só permite acessar processos Edge iniciados pelo mesmo usuário).
Ele também disse que relatou o problema à Microsoft e foi informado de que o comportamento era "intencional" antes de divulgá-lo publicamente.
“O Edge é o único navegador baseado em Chromium que testei que se comporta dessa maneira. Por outro lado, o Chrome usa um design que torna muito mais difícil para os invasores extrair senhas salvas simplesmente lendo a memória do processo”, disse o pesquisador.
Embora inicialmente tenha se recusado a resolver o problema, dizendo ao BleepingComputer na época que “este é um recurso esperado do aplicativo”, a Microsoft anunciou na quarta-feira que versões futuras do Edge não carregarão mais senhas salvas na memória na inicialização, mesmo que o cenário relatado se enquadre no modelo de ameaça existente esperado (que exclui ataques onde um adversário já tem controle administrativo de um dispositivo).
“Essa mudança profunda de defesa chegará a todas as versões suportadas do Edge (Stable, Beta, Dev, Canary e o canal Extended Stable que nossos clientes corporativos executam) e estamos priorizando o lançamento”, disse o líder de segurança do Microsoft Edge, Gareth Evans.
"Com nosso compromisso com a Secure Future Initiative e com o feedback dos clientes, estamos adotando uma visão mais ampla. Isso significa analisar não apenas se algo atende aos padrões de um problema de segurança, mas também onde podemos reduzir a exposição por meio de melhorias de defesa profunda. Nesse caso, reduzir a exposição de senhas na memória é um passo prático nessa direção."
A correção já está ativa no canal Edge Canary e será incluída na próxima atualização para todas as versões Edge suportadas (build 148 e mais recentes).
No ano passado, a Microsoft também introduziu um novo recurso de segurança do Edge para proteger os usuários contra extensões maliciosas carregadas no navegador da web e restringiu o acesso ao modo Internet Explorer do Edge depois que os hackers começaram a aproveitar explorações de dia zero no mecanismo Chakra JavaScript para acessar os dispositivos alvo.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
Esse comportamento foi divulgado em 4 de maio pelo pesquisador de segurança Tom Jøran Sønstebyseter Rønning, que demonstrou que todas as credenciais armazenadas no gerenciador de senhas integrado do Edge foram descriptografadas na inicialização e mantidas na memória mesmo quando não estavam em uso.
Rønning também lançou uma ferramenta de prova de conceito (PoC) que permitiria que invasores com privilégios de administrador despejassem senhas de processos Edge de outros usuários (sem privilégios de administrador, o PoC só permite acessar processos Edge iniciados pelo mesmo usuário).
Ele também disse que relatou o problema à Microsoft e foi informado de que o comportamento era "intencional" antes de divulgá-lo publicamente.
“O Edge é o único navegador baseado em Chromium que testei que se comporta dessa maneira. Por outro lado, o Chrome usa um design que torna muito mais difícil para os invasores extrair senhas salvas simplesmente lendo a memória do processo”, disse o pesquisador.
Embora inicialmente tenha se recusado a resolver o problema, dizendo ao BleepingComputer na época que “este é um recurso esperado do aplicativo”, a Microsoft anunciou na quarta-feira que versões futuras do Edge não carregarão mais senhas salvas na memória na inicialização, mesmo que o cenário relatado se enquadre no modelo de ameaça existente esperado (que exclui ataques onde um adversário já tem controle administrativo de um dispositivo).
“Essa mudança profunda de defesa chegará a todas as versões suportadas do Edge (Stable, Beta, Dev, Canary e o canal Extended Stable que nossos clientes corporativos executam) e estamos priorizando o lançamento”, disse o líder de segurança do Microsoft Edge, Gareth Evans.
"Com nosso compromisso com a Secure Future Initiative e com o feedback dos clientes, estamos adotando uma visão mais ampla. Isso significa analisar não apenas se algo atende aos padrões de um problema de segurança, mas também onde podemos reduzir a exposição por meio de melhorias de defesa profunda. Nesse caso, reduzir a exposição de senhas na memória é um passo prático nessa direção."
A correção já está ativa no canal Edge Canary e será incluída na próxima atualização para todas as versões Edge suportadas (build 148 e mais recentes).
No ano passado, a Microsoft também introduziu um novo recurso de segurança do Edge para proteger os usuários contra extensões maliciosas carregadas no navegador da web e restringiu o acesso ao modo Internet Explorer do Edge depois que os hackers começaram a aproveitar explorações de dia zero no mecanismo Chakra JavaScript para acessar os dispositivos alvo.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
#samirnews #samir #news #boletimtec #microsoft #retrocede: #edge #para #parar #de #carregar #senhas #na #memória
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário