Edge deixa de manter passwords visíveis em RAM

Depois de tentar desvalorizar o assunto, a Microsoft vai deixar de expor as passwords em RAM no Edge.

A Microsoft decidiu alterar o funcionamento do gestor de passwords do Edge depois de críticas relacionadas com a forma como o browser armazenava palavras-passe em memória. A polémica surgiu após um investigador de segurança demonstrar que credenciais guardadas no Edge podiam ser extraídas directamente da RAM caso o computador estivesse comprometido por malware.

O Edge deixará de carregar automaticamente todas as passwords na memória durante o arranque do browser. Em vez disso, as credenciais serão desencriptadas apenas no momento em que forem necessárias para preencher formulários ou iniciar sessão em websites, sendo removidas da memória logo após utilização.

O problema foi identificado pelo investigador Tom Rønning, que afirmou que o Edge era o único browser baseado em Chromium a manter passwords desencriptadas continuamente em memória. Browsers como o Chrome, e outros, apenas desencriptam credenciais quando realmente necessário, reduzindo a superfície de ataque em caso de infecção por malware.

A Microsoft defendeu inicialmente que o cenário exigia já acesso ao computador por parte de malware, mas acabou por recuar após as críticas da comunidade de segurança. Agora diz que a alteração faz parte do "esforço contínuo para reforçar a segurança do Windows e do Edge", referindo também que irá rever a forma como responde a relatórios de investigadores de segurança no futuro.