Microsoft Edge Parola Güvenliği Yenileniyor: Düz Metin Bellek Sistemi Kaldırılıyor
Microsoft Edge parola güvenliği güncellemesi, son haftaların en çok konuşulan tarayıcı tartışmasına noktayı koyuyor. Microsoft, Edge tarayıcısının başlangıçta tüm kayıtlı parolaları RAM’e şifresiz biçimde yüklemesine yol açan tartışmalı mekanizmayı devre dışı bırakma kararı aldı. Değişiklik Edge 148 sürümüyle birlikte tüm kullanıcılara ulaşacak.
Olay Nasıl Ortaya Çıktı?
Norveçli siber güvenlik araştırmacısı Tom Jøran Sønstebyseter Rønning, nisan ayı sonunda Palo Alto Networks Norway’nin düzenlediği BIG Bite of Tech konferansında bulgularını ilk kez paylaştı. Rønning, Edge tarayıcısı açılır açılmaz tüm kayıtlı kimlik bilgilerinin düz metin halinde süreç belleğine yüklendiğini ve kullanıcı ilgili siteyi ziyaret etmese bile bu verilerin oturum boyunca bellekte kaldığını gösterdi.
Araştırmacı, iddiasını kanıtlamak için GitHub üzerinde EdgeSavedPasswordsDumper adını verdiği bir kavram kanıtlama aracı yayınladı. Windows Görev Yöneticisi üzerinden alınan bellek dökümü dosyası incelendiğinde, tüm kullanıcı adı ve parolaların okunabilir metin olarak görülebildiği anlaşıldı. SANS Internet Storm Center da aynı yöntemi dakikalar içinde tekrarlayarak bulguyu doğruladı.
“Tasarım Gereği” Savunması Tepki Çekti
Microsoft’tan gelen ilk açıklama tartışmayı daha da alevlendirdi. Şirket, söz konusu davranışın bir güvenlik açığı değil, bilinçli bir tasarım tercihi olduğunu savundu. Yapılan yazılı açıklamada, “Bildirilen senaryodaki tarayıcı verilerine erişim, cihazın zaten ele geçirilmiş olmasını gerektirir. Bu alandaki tasarım tercihleri performans, kullanılabilirlik ve güvenlik arasında denge kurmayı içerir” ifadelerine yer verildi.
Bu açıklama siber güvenlik camiasında ciddi tepkiyle karşılandı. Rønning, Edge’in bu şekilde davranan tek Chromium tabanlı tarayıcı olduğunu vurguladı. Google Chrome, Brave ve Opera gibi rakipler yalnızca kullanıcı bir parolayı görüntülemek istediğinde ilgili veriyi çözüp belleğe alıyor. Chrome ayrıca App-Bound Encryption adı verilen ikincil bir şifreleme katmanıyla çözme anahtarlarını kimliği doğrulanmış tarayıcı sürecine bağlıyor.
Terminal Sunucularda Büyük Risk
Asıl endişe verici senaryo ise paylaşımlı sistemlerde ortaya çıktı. Rønning’in gösterdiği üzere, bir Windows terminal sunucusunda yönetici yetkisine sahip bir saldırgan, aynı sunucuda oturum açmış diğer tüm kullanıcıların Edge belleğindeki parolalarına erişebiliyordu. Bu durum özellikle kurumsal ortamlar için kritik bir risk oluşturuyor. Secure.com CEO’su Uzair Gadit, konuyla ilgili değerlendirmesinde “Kullanıcı odaklı tasarım tercihleri ile modern saldırganların çalışma biçimi giderek daha fazla çarpışıyor” yorumunu yaptı.
Microsoft Geri Adım Attı
Kamuoyundan yükselen tepkiler ve güvenlik uzmanlarının üst üste gelen uyarıları Microsoft’u pozisyon değiştirmeye zorladı. Edge Güvenlikten Sorumlu Başkan Yardımcısı Andrew Ritz, LinkedIn üzerinden yaptığı duyuruda “Başlangıçta artık parolaları belleğe yüklemiyoruz. Edge’in parola yöneticisini kullanıyorsanız hiçbir şey yapmanıza gerek yok; güncelleme normal kanaldan size ulaşacak” dedi.
Ritz ayrıca dikkat çekici bir ifade kullandı: “Bildirilen davranış müşterileri yeni bir riske sokmuyor, ancak bu bizim işimizin başladığı yerdir, bittiği yer değil.”
Edge 148 ile Ne Değişecek?
Yeni düzenleme şu anda Edge Canary kanalında test ediliyor. Edge 148 sürümüyle birlikte Stable, Beta, Dev ve Extended Stable dahil tüm kanallara dağıtılacak. Microsoft, değişikliğin Secure Future Initiative kapsamında “savunma derinliği” yaklaşımının bir parçası olduğunu belirtiyor. Şirket aynı zamanda gelecekteki güvenlik raporlarının ele alınış biçimini, özellikle yanıt hızı ve iletişim netliği açısından gözden geçireceğini de duyurdu.
Tarayıcının parolaları tam olarak nasıl işleyeceğine dair teknik detaylar henüz paylaşılmadı. Ancak sektör gözlemcileri, Edge’in Chrome benzeri bir modele geçerek parolaları yalnızca ihtiyaç anında çözeceğini öngörüyor. Güncelleme otomatik olarak yüklenecek ve kullanıcıların herhangi bir manuel işlem yapmasına gerek kalmayacak. Teknoloji Haberleri - hedefbilgitoplumu.com
