Beberapa waktu lalu sempat ramai laporan mengenai mekanisme penyimpanan password di Microsoft Edge yang dianggap cukup berisiko dari sisi keamanan.
Nah menariknya guys, setelah sebelumnya Microsoft menyebut perilaku tersebut sebagai sesuatu yang “by design”, kini perusahaan justru mulai menggulirkan perbaikan besar untuk mengatasinya.
Jadi buat kamu yang belum mengikuti kasus ini, semuanya bermula ketika seorang peneliti keamanan bernama Tom Jøran Sønstebyseter Rønning menemukan bahwa Microsoft Edge memuat kredensial yang tersimpan ke memory sistem dalam bentuk plaintext sejak browser dijalankan.
Yang berarti, username dan password berada di RAM bahkan ketika kredensial tersebut tidak sedang digunakan. Dan untuk membuktikan temuannya, Tom bahkan sempat merilis tool proof-of-concept bernama “EdgeSavedPasswordsDumper” di GitHubyang mampu membaca memory proses browser dan menampilkan kredensial yang tersimpan dalam bentuk yang bisa dibaca manusia.
Sempat disebut Normal
Nah yang membuat kasus ini semakin ramai tentu adalah respon awal Microsoft. Karena ketika temuan tersebut dilaporkan, Microsoft mengatakan bahwa perilaku itu memang merupakan bagian dari desain keamanan browser atau “by design”.
Baca Juga : 7 Tips Search di File Explorer Windows 11 yang Jarang Diketahui Pengguna
Menurut mereka, mekanisme tersebut masih masuk kedalam “expected threat model”, karena eksploitasi baru bisa dilakukan jika penyerang sudah memiliki akses administrator ke perangkat korban.
Dengan kata lain, Microsoft beranggapan bahwa jika attacker sudah memiliki elevated privileges, maka sistem memang pada dasarnya sudah berada dalam kondisi berbahaya.
Tapi tentu, penjelasan ini justru memicu banyak kritik dari komunitas keamanan. Apalagi browser lain berbasis Chromium seperti Google Chrome, Brave dan Opera dilaporkan tidak memiliki perilaku serupa karena umumnya hanya mendekripsi password saat benar benar dibutuhkan.
Kini Diperbaiki Microsoft
Setelah sebelumnya mereka menganggap bahwa hal ini adalah normal, mereka kini mulai berubah aray guys, karena dalam postingan terbaru Microsoft Browser Vulnerability Research, perusahaan mengonfirmasi bahwa mereka sedang menyiapkan update prioritas untuk memperbaiki mekanisme penyimpanan password tersebut.
Update ini nantinya akan hadir untuk seluruh versi Microsoft Edge yang masih didukung mulai dari versi 148 dan lebih baru, termasuk seluruh channel Edge seperti Stable, Beta, Dev dan Canary.
Secara umum sih ini kabar baik, tapi secara tidak langsung, keputusan ini cukup bertolak belakang dengan pernyataan Microsoft sebelumnya yang menyebut mekanisme tersebut bukan masalah keamanan.
Nah bagaimana menurutmu mengenai hal ini? komen dibawah guys.
Via : Microsoft
Catatan Penulis : WinPoin sepenuhnya bergantung pada iklan untuk tetap hidup dan menyajikan konten teknologi berkualitas secara gratis — jadi jika kamu menikmati artikel dan panduan di situs ini, mohon whitelist halaman ini di AdBlock kamu sebagai bentuk dukungan agar kami bisa terus berkembang dan berbagi insight untuk pengguna Indonesia. Kamu juga bisa mendukung kami secara langsung melalui dukungan di Saweria. Terima kasih.
