Microsoft heeft besloten het gedrag van zijn Edge-browser aan te passen nadat een beveiligingsonderzoeker ontdekte dat opgeslagen wachtwoorden bij het opstarten tijdelijk in leesbare vorm in het geheugen werden geladen. Opmerkelijk daarbij is dat het bedrijf tegelijkertijd volhoudt dat gebruikers nooit daadwerkelijk gevaar liepen.
De discussie ontstond nadat onderzoeker Tom Jøran Sønstebyseter Rønning vaststelde dat Microsoft Edge bij het openen van de browser alle opgeslagen inloggegevens ontsleutelde en in het werkgeheugen plaatste. Volgens de onderzoeker week Edge daarmee af van andere Chromium-gebaseerde browsers, zoals Google Chrome. Chrome ontsleutelt wachtwoorden doorgaans pas wanneer een gebruiker expliciet een opgeslagen wachtwoord wil bekijken.
De bevinding leidde tot vragen over de veiligheid van Edge. Wanneer gevoelige gegevens in leesbare vorm in het geheugen aanwezig zijn, zouden kwaadwillenden daar in theorie toegang toe kunnen krijgen. Microsoft reageerde echter snel en stelde dat het gedrag “binnen het verwachte dreigingsmodel” viel. Met andere woorden: een aanvaller zou eerst al volledige toegang tot het apparaat moeten hebben voordat misbruik mogelijk is.
Geen direct beveiligingslek
Volgens Microsoft vormde de situatie daarom geen direct beveiligingslek. In een toelichting benadrukt het bedrijf dat de risico’s pas beginnen op het moment dat een systeem al gecompromitteerd is. Vanuit dat perspectief was er volgens Microsoft geen sprake van een kwetsbaarheid die onmiddellijke paniek rechtvaardigde.
Toch voert het concern nu een opvallende wijziging door. In Edge versie 148 worden wachtwoorden niet langer standaard in het geheugen geladen bij het opstarten van de browser. De aanpassing is inmiddels beschikbaar in de Canary-versie, de testomgeving voor nieuwe functies, en zal later breder worden uitgerold naar alle gebruikers.
Better safe than sorry
Die stap roept vragen op. Als het bestaande gedrag volgens Microsoft geen serieus probleem vormde, waarom wordt het dan alsnog aangepast? Beveiligingsexperts wijzen erop dat grote technologiebedrijven vaker handelen volgens het principe ‘better safe than sorry’. Zelfs wanneer een risico theoretisch klein is, kan het beperken van potentiële aanvalsmogelijkheden bijdragen aan een sterker beveiligingsmodel.
Het incident onderstreept bovendien hoe kritisch onderzoekers en onafhankelijke beveiligingsspecialisten blijven kijken naar software van grote techbedrijven. Juist die externe controle leidt regelmatig tot aanpassingen die de veiligheid op termijn verbeteren, ook wanneer bedrijven aanvankelijk volhouden dat er weinig aan de hand is.
Voor Edge-gebruikers betekent de wijziging waarschijnlijk vooral extra bescherming achter de schermen. Zonder merkbare invloed op dagelijks gebruik worden opgeslagen wachtwoorden straks minder ruim toegankelijk in het geheugen van de browser.