Microsoft เตรียมอัปเดตเร่งด่วนให้ Edge หลังถูกเปิดเผยว่าระบบจัดการรหัสผ่านของเบราว์เซอร์มีพฤติกรรมเก็บรหัสผ่านที่บันทึกไว้ทั้งหมดในหน่วยความจำ RAM แบบ Plain Text หรือข้อความไม่เข้ารหัส
รายงานด้านความปลอดภัยระบุว่าเมื่อเปิดใช้งาน Edge ระบบจะถอดรหัสรหัสผ่านที่ผู้ใช้บันทึกไว้ทั้งหมดโดยอัตโนมัติ และโหลดข้อมูลเหล่านี้เข้าไปเก็บไว้ในหน่วยความจำของโปรแกรมทันที
ปัญหาคือแม้ผู้ใช้จะไม่ได้เข้าเว็บไซต์ใดที่เกี่ยวข้องกับรหัสผ่านเหล่านั้น ข้อมูลก็ยังคงอยู่ใน RAM ตลอดช่วงเวลาที่โปรแกรมทำงาน ทำให้หากผู้โจมตีสามารถเข้าถึงเครื่องได้ ก็อาจใช้เทคนิค Memory Dump ดึงข้อมูลรหัสผ่านออกมาได้จำนวนมาก
ก่อนหน้านี้ Microsoft เคยตอบโต้ประเด็นนี้อย่างแข็งกร้าว โดยระบุว่านี่ไม่ใช่ช่องโหว่ แต่เป็นฟีเจอร์ที่ออกแบบไว้ตั้งใจ เพื่อช่วยให้การกรอกข้อมูลล็อกอินและเข้าถึงข้อมูลทำได้รวดเร็วขึ้น
อย่างไรก็ตาม ล่าสุด Microsoft เปลี่ยนท่าทีอย่างชัดเจน และประกาศผ่านโครงการ Microsoft Browser Vulnerability Research ว่าจะออกอัปเดตแบบ Priority Fix ให้ Edge เวอร์ชันที่ยังได้รับการสนับสนุน
หลังอัปเดตดังกล่าว ระบบจะหยุดโหลดรหัสผ่านที่บันทึกไว้เข้าสู่หน่วยความจำในรูปแบบ Plain Text เพื่อลดความเสี่ยงด้านความปลอดภัยและปกป้องข้อมูลผู้ใช้มากขึ้น
แม้ Microsoft ยังไม่ได้เปิดเผยรายละเอียดเชิงเทคนิคของการแก้ไข แต่ยืนยันว่าหลังอัปเดต ผู้ใช้จะไม่ต้องกังวลว่ารหัสผ่านที่บันทึกไว้จะถูกเก็บใน RAM แบบไม่เข้ารหัสอีกต่อไป
กรณีนี้กลายเป็นอีกตัวอย่างที่น่าสนใจของแนวคิด “It’s not a bug, it’s a feature” ที่สุดท้ายต้องยอมถอย หลังถูกกดดันจากนักวิจัยด้านความปลอดภัยและกระแสวิจารณ์จากผู้ใช้งานจำนวนมาก
ที่มา: HKEPC
