Microsoft Edge’in dahili parola yöneticisi, tarayıcı açılır açılmaz tüm kayıtlı parolaları çözüp RAM’e düz metin olarak yüklüyor. Norveçli güvenlik araştırmacısı Tom Jøran Sønstebyseter Rønning’in paylaştığı basit bir demo, parolaların ve ilgili hesapların tarayıcı çalıştığı sürece bellekten okunabildiğini gösteriyor. Microsoft’a bildirilen bu davranışın “tasarım gereği” olduğu; amaçlarının oturum açma ve otomatik doldurma deneyimini hızlandırmak olduğu belirtiliyor.
Rønning, Edge’in sadece ihtiyaç duyulan parolayı anlık olarak çözmek yerine, kasadaki tüm parolaları baştan ve topluca belleğe koyduğunu aktarıyor. Bu durum özellikle paylaşılan bilgisayarlarda ve kurumsal ortamlarda risk yaratıyor; çünkü yerel yönetici ayrıcalığı olan bir kullanıcı ya da benzer ayrıcalıklara sahip kötü amaçlı yazılım, Edge sürecinin belleğini tarayarak tüm kimlik bilgilerini bir kerede toplayabilir. Araştırmacı, bunu kanıtlamak için basit bir parola dökücü de yayımladı.
Haberi takip eden teknik incelemelerde, Chrome ve diğer Chromium tabanlı tarayıcıların App Bound Encryption gibi mekanizmalarla parolaları bellekten geniş çaplı toplamayı zorlaştırdığı, Edge’in ise araştırmacının test ettiği Chromium tarayıcıları arasında bu şekilde davranan tek örnek olduğu öne çıkıyor. Microsoft tarafı ise, parolalara bellekte erişimin otomatik doldurma için beklendik bir özellik olduğunu savunuyor.
Önemli bir nokta: Her parola yöneticisi, bir parolayı dolduracağı esnada onu kısa süreliğine bellekte düz metin olarak tutmak zorunda. Microsoft’un kendi belgeleri de, kasa açıldıktan sonra parolaların tarayıcı belleğinde bulunabileceğini ve yerel saldırıların bunu kötüye kullanabileceğini açıkça not ediyor. Edge’de tartışılan konu, bu anın tüm kasayı kapsayacak şekilde tarayıcı açılışına yayılması.
Ne yapılabilir?
- Kısa vadede Edge’in parola kaydetme özelliğini kapatın, mevcut parolaları silin ve verilerinizi bağımsız, denetlenmiş bir parola yöneticisine (ör. Bitwarden, 1Password, KeePassXC) taşıyın. Bu araçlar genelde parolayı yalnızca gerektiğinde çözüp bellekten hızla temizliyor.
- Zorunlu olarak Edge kullanılıyorsa, Windows Hello ile yeniden kimlik doğrulamayı etkinleştirin, tam disk şifreleme (BitLocker) kullanın ve paylaşılan/ortak makinelerde yerel yönetici yetkilerini sınırlandırın.
- Kurumlar için: Grup İlkeleriyle tarayıcıda parola kaydetmeyi kapatın, kullanıcıların parolaları tarayıcıya aktarmasını engelleyin ve merkezi bir kurumsal parola yöneticisine geçiş planı yapın.
Not olarak, Microsoft Edge 146 ile “özel birincil parola” oluşturma seçeneği kaldırılıyor; 4 Haziran 2026’dan sonra kullanıcılar Windows Hello gibi cihaz temelli kimlik doğrulamaya geçirilecek. Bu değişiklik, bellek içi düz metin meselesini çözmese de, parola kasasına erişim akışını etkiliyor.
Kısacası, Edge’in parolaları RAM’de topluca ve düz metin halde tutması kullanılabilirliği artırsa da, bellek taramaya dayalı saldırıların işini kolaylaştırıyor. Tarayıcıya parola emanet etmek yerine, bağımsız ve denetlenmiş bir parola yöneticisine geçmek bugün için en güvenli yaklaşım görünüyor.
Kaynak: www.techspot.com
