피드로 돌아가기
GeekNewsSecurity
원문 읽기
Microsoft Edge는 사용하지 않을 때도 모든 비밀번호를 메모리에 평문으로 저장함
Edge 브라우저의 평문 메모리 상주 설계로 인한 자격 증명 유출 리스크
AI 요약
Context
Microsoft Edge가 브라우저 시작 시 모든 저장 비밀번호를 복호화하여 프로세스 메모리에 평문으로 상주시킴. 특정 사이트 방문 여부와 무관하게 모든 자격 증명이 메모리에 노출되는 구조적 취약점 존재.
Technical Solution
- App-Bound Encryption(ABE) 미적용으로 인한 프로세스 간 메모리 접근 제어 부재
- 자격 증명 필요 시점에만 복호화하는 On-demand Decryption 방식 결여
- 관리자 권한 획득 시 모든 사용자 프로세스 메모리를 덤프할 수 있는 구조적 허점
- Chrome의 경우 ABE를 통해 복호화 키를 인증된 프로세스에 바인딩하여 타 프로세스의 키 재사용 차단
- 메모리 스크래핑 공격 범위를 최소화하기 위해 사용 직후 자격 증명을 즉시 삭제하는 설계 필요
실천 포인트
1. 민감 데이터의 메모리 상주 시간을 최소화하는 Just-in-Time 복호화 적용 여부 검토
2. OS 수준의 프로세스 격리 외에 App-Bound Encryption 등 추가적인 데이터 바인딩 계층 설계
3. 관리자 권한 탈취 시나리오를 가정한 메모리 덤프 기반의 자격 증명 유출 테스트 수행