Abone Ol
GÜNCEL
Edge tarayıcısının RAM'deki şifre hatası: Chrome neden bu riski almıyor?Copy Fail Sonrası Dirty Frag: Linux Çekirdeği Güvenliğinin Sınavı BaşladıPerplexity, Mac'e yerel AI taşıyor: Bulut güvenliğinden kaçış mı, yoksa niş bir çözüm mü?Samsung Galaxy Watch 6 bayılmayı %84,6 doğrulukla önceden sezdi—peki laboratuvardan hayata geçebilir mi?Gemma 4'ün hızlanma hilesi: Açık kaynak AI'ı telefonda 3 kat daha çabuk çalıştırıyorWindows'taki Phone Link, telefonunuzun en hassas mesajlarını çalan yeni kötü amaçlı yazılıma kapı açıyorAkıllı telefonun çentiği nihayet tarihe karışıyor: Metalenz'in görünmez yüz tanıması 2027'de devreye giriyorInstructure'ün Dokuz Ayda İkinci Hacklenişi: Eğitim Teknolojisindeki Güvenlik ÇöküşüEdge tarayıcısının RAM'deki şifre hatası: Chrome neden bu riski almıyor?Copy Fail Sonrası Dirty Frag: Linux Çekirdeği Güvenliğinin Sınavı BaşladıPerplexity, Mac'e yerel AI taşıyor: Bulut güvenliğinden kaçış mı, yoksa niş bir çözüm mü?Samsung Galaxy Watch 6 bayılmayı %84,6 doğrulukla önceden sezdi—peki laboratuvardan hayata geçebilir mi?Gemma 4'ün hızlanma hilesi: Açık kaynak AI'ı telefonda 3 kat daha çabuk çalıştırıyorWindows'taki Phone Link, telefonunuzun en hassas mesajlarını çalan yeni kötü amaçlı yazılıma kapı açıyorAkıllı telefonun çentiği nihayet tarihe karışıyor: Metalenz'in görünmez yüz tanıması 2027'de devreye giriyorInstructure'ün Dokuz Ayda İkinci Hacklenişi: Eğitim Teknolojisindeki Güvenlik Çöküşü
Güvenlik & Siber Güvenlik

Edge tarayıcısının RAM'deki şifre hatası: Chrome neden bu riski almıyor?

Güvenlik araştırmacısı Tom Jøran Sønstebysæter Rønning'in bulgusu, Microsoft Edge'in başlangıçta kaydedilmiş şifreleri bellekte düz metin olarak tuttuğunu ortaya koydu. Chrome'un yalnızca oto-doldurma anında şifreleri çözen ve derhal silen mimarisiyle karşılaştırıldığında, Edge'in tüm şifreleri baştan itibaren RAM'de açık tutması—yönetici ayrıcalığına sahip bir saldırgan için kapı açık bırakıyor. Bu tasarım tercihi neden bu kadar riskli?

Edge tarayıcısının RAM'deki şifre hatası: Chrome neden bu riski almıyor?

Güvenlik araştırmacısı Tom Jøran Sønstebysæter Rønning, komut isteminden basit bir araçla Microsoft Edge'in belleğindeki tüm kaydedilmiş şifreleri düz metin halinde okuyabildiğini gösterdiğinde, ortaya çıkan tablo Chromium ekosistemindeki benzersiz bir tasarım seçimini gün yüzüne çıkardı. Edge, başlangıçta kayıtlı tüm şifreleri RAM'de açık tutarken, Chrome ve diğer Chromium tabanlı tarayıcılar yalnızca gerektiğinde şifreleri çözüp hemen ardından bellekten siliyor. Microsoft bu kararı "performans, kullanılabilirlik ve güvenlik arasında dengeleme" olarak tanımladı. Ancak Windows terminal sunucularında yönetici erişimi olan bir saldırganın birden fazla kullanıcının şifrelerine tek seferde ulaşabilmesi, bu dengenin yeterince hesaplanmış olup olmadığı sorusunu gündeme getiriyor.

Edge başlangıçta tüm şifreleri bellekte açık tutuyor—ve bu başka tarayıcılarda yok

Rønning'in bulgusu teknik olarak nettir: Edge açıldığında, kullanıcı henüz hiçbir web sitesini ziyaret etmemiş olsa bile, tarayıcı Windows Credential Manager'daki tüm kaydedilmiş şifreleri dekrip ediyor ve işlem belleğinde tutuyor. Güvenlik uzmanı Rob VandenBrink, Windows Task Manager'ın Memory Dump özelliğini kullanarak bulguyu bağımsız olarak tekrar üretti; herhangi bir üçüncü taraf araç gerektirmeden, yönetici yetkisiyle açılmış bir komut istemi aracılığıyla Edge'in bellek içeriğine erişmek ve şifreleri düz metin biçiminde okumak mümkündü.

Bu davranış, Rønning'in test ettiği diğer Chromium tabanlı tarayıcılarda görülmüyor. Chrome, Brave, Opera gibi tarayıcılar şifreleri yalnızca kullanıcı bir form alanında otomatik doldurma tetiklendiğinde çözüyor, ardından bellek bloğunu hemen temizliyor. Edge ise kullanıcı hiçbir işlem yapmasa bile tüm şifre havuzunu başlangıçta yükleyip belleğe yazıyor ve orada tutuyor.

Heise Online editörleri de bulguyu bağımsız olarak doğruladı, Edge'in bu konuda Chromium ailesinde istisnai bir uygulama yaptığını teyit etti. Microsoft'a bu tasarım seçimiyle ilgili gönderilen sorulara şirket sözcüsü, kararın "performans ve kullanılabilirlik ile güvenlik arasında dikkatli dengeleme" sonucu alındığını belirterek, durumu bir hata olarak kabul etmedi.

Chrome neden ihtiyaç halinde açıyor ve hemen siliyor

Chrome'un yaklaşımı bellek hijyenine daha dar bir pencereden bakıyor. Şifre verileri, yalnızca kullanıcı otomatik doldurma işlemini başlattığında—yani bir giriş alanını seçtiğinde veya tarayıcı bir kaydedilmiş kimlik bilgisi önerdiğinde—RAM'e alınıyor. İşlem tamamlanır tamamlanmaz, Chrome o bellek bloğunu sıfırlıyor veya serbest bırakıyor, böylece şifre düz metin biçiminde işlem belleğinde kalıcı olmuyor.

Bu tasarım seçiminin performans maliyeti, her otomatik doldurma işleminde kısa bir dekrip işlemi gerektirmesi. Ancak modern makinelerde bu süre milisaniyeler mertebesinde kalıyor ve kullanıcı deneyiminde fark edilir bir gecikmeye yol açmıyor. Chrome ekibi, bu küçük performans ödünü kabul ederek saldırı yüzeyini daraltmayı tercih ediyor: bellekte şifre verisi ne kadar kısa süre kalırsa, bir bellek dökümü saldırısının başarı şansı o kadar düşük oluyor.

Edge'in tüm şifreleri başlangıçta yüklemesi, teoride kullanıcı arayüzünde daha hızlı yanıt süreleri sağlayabilir. Ancak bu avantaj, modern donanım ve Windows Credential Manager'ın zaten optimize edilmiş API'leri göz önüne alındığında kullanıcı tarafında ölçülebilir mi? Microsoft'un bu tasarım seçimini savunurken sunduğu performans gerekçesi somut verilerle desteklenmedi. Şirket sözcüsünün "dengeleme" ifadesi, kantitatif kıyaslama yerine genel bir yöntem açıklaması olarak kaldı.

Admin erişimi: Microsoft'un 'cihaz tehlikede' koşulu neden eksik kalıyor

Microsoft'un resmi yanıtı açık: Şifre verilerine erişim için cihazın önceden tehlikelenmiş olması gerekiyor, çünkü bellek döküm işlemi yönetici ayrıcalıkları gerektiriyor. Şirketin perspektifinden, yönetici erişimi olan bir saldırgan zaten cihazın kontrolünü ele geçirmiş demektir ve bu noktada şifre yöneticisinin davranışı ikincil bir sorun haline gelir.

Bu argüman klasik güvenlik tartışmasının bir yansıması: yönetici ayrıcalıkları gerçekten mutlak bir "oyun bitti" noktası mı yoksa savunma derinliği ilkesi, bu aşamada bile ek katmanlar talep etmeli mi? Chrome'un yaklaşımı ikinci görüşü benimsiyor. Saldırgan admin erişimi elde etse bile, şifreler bellekte yalnızca milisaniyelik pencerelerle açık kalıyor, bu da bir bellek taraması saldırısının zamanlamasını zorlaştırıyor. Edge'in modeli ise saldırgana sürekli açık bir hedef sunuyor: tarayıcı çalıştığı sürece tüm şifreler bellekte duruyor.

Vx Underground, güvenlik araştırma topluluğunun tartışmasında evcil makinelerde malware enfeksiyonunun daha büyük bir tehdit oluşturduğunu belirtti. Bir bilgisayara malware yüklendikten sonra yönetici erişimi elde etmek, çoğu kullanıcının yerel yönetici haklarıyla çalıştığı ev ortamlarında kolay olabiliyor. Bu bağlamda Edge'in tasarımı, kompromize edilmiş bir bilgisayarda tüm kaydedilmiş kimliklere anında erişim sağlayan bir kolaylık vektörü haline geliyor.

Ancak Vx Underground aynı zamanda kurumsal ortamlarda yönetici erişimi kazanmanın çok daha zor olduğunu, Group Policy, ayrıcalık yönetimi araçları ve izleme sistemlerinin bu tür saldırıları daha karmaşık hale getirdiğini ekledi. Microsoft'un savunması muhtemelen bu gerçekliğe dayanıyor: kurumsal Windows ortamlarında yönetici ayrıcalıklarını elde eden bir saldırgan, şifre yöneticisi ne yaparsa yapsın zaten kritik düzeyde erişim kazanmış demektir.

Yine de bu bakış açısı, savunma derinliği stratejisini göz ardı ediyor. Chrome'un modeli, yönetici erişimi kazanılmış olsa bile, saldırganın şifreleri toplamak için aktif kullanıcı etkileşimini beklemesini veya sürekli bellek taraması yapmasını gerektiriyor. Edge'in modeli ise tek bir bellek dökümüyle tüm şifre havuzunu ifşa ediyor.

Terminal sunucuları ve çok kullanıcılı ortamlar: Neden risk daha ciddi

Rønning'in bulgusunun en kritik boyutu Windows terminal sunucuları ve uzak masaüstü altyapılarıyla ilgili. Windows terminal sunucusuna yönetici erişimi olan bir saldırgan, birden fazla kullanıcının Edge işlemlerinden şifre dökülebilir. Tek bir kompromize edilmiş yönetici hesabı, sunucuda oturum açmış tüm kullanıcıların şifrelerine toplu erişim anlamına geliyor.

Bu senaryo, birçok kurumsal ortamda gerçekçi bir tehdittir. Terminal sunucuları hala çok sayıda organizasyonda kullanılıyor; çağrı merkezleri, eğitim kurumları, ortak ofis alanları ve sağlık tesisleri gibi birçok sektörde merkezi Windows sunucuları üzerinden çalışan kullanıcı oturumları yaygın. Bu ortamlarda bir kullanıcının hesabının tehlikeye girmesi, saldırganın sunucudaki tüm aktif Edge işlemlerine erişmesi için kapı aralıyor.

Edge'in şifreleri başlangıçta yüklemesi, bu ortamlarda çarpan etkisi yaratıyor. Saldırgan tek bir bellek dökümü komutuyla, aynı anda oturum açmış onlarca kullanıcının yüzlerce şifresini elde edebilir. Chrome'un modeli bu riski azaltır; her kullanıcının şifreleri yalnızca o kullanıcı aktif olarak otomatik doldurma yaptığında ve yalnızca o an için bellekte olur. Saldırgan hala erişim sağlayabilir, ancak tüm şifre havuzunu tek seferde dökemez.

Microsoft'un yanıtında terminal sunucusu senaryosu özellikle ele alınmadı. Şirket, "cihazın zaten tehlikelenmiş olması" koşulunu savunurken, çok kullanıcılı ortamların taşıdığı ek riski tanımlamadı. Oysa yönetici erişiminin bir terminal sunucusunda kazanılması ile tek bir kullanıcının cihazında kazanılması, etki alanı açısından tamamen farklı sonuçlar doğuruyor.

Performans vs. güvenlik—Microsoft'un seçimi değerlendirilmiş mi?

Microsoft'un açıklamasındaki "performans ve kullanılabilirlik" vurgusu, somut ölçümlerle desteklenmediğinde soyut bir gerekçe olarak kalıyor. Edge'in şifreleri başlangıçta yüklemesi gerçekten kullanıcı deneyiminde ölçülebilir bir kazanç sağlıyor mu? Chrome'un ihtiyaç halinde dekrip yaklaşımı kullanıcı açısından hissedilir bir gecikmeye yol açıyor mu?

Modern Windows sistemlerinde Credential Manager API'si optimize edilmiş durumda; bir şifrenin dekripte edilmesi milisaniyeler mertebesinde gerçekleşiyor. Otomatik doldurma deneyiminde kullanıcı açısından fark edilebilir bir gecikme olması için dekrip işleminin onlarca veya yüzlerce milisaniye alması gerekir, ancak mevcut donanım ve kriptografik kütüphaneler bu seviyede performans sorunu göstermiyor.

Edge'in tasarımının avantajı, kullanıcı arayüzünde şifre önerilerini göstermek için belleğe zaten yüklenmiş verileri kullanabilmesi olabilir. Chrome ise her otomatik doldurma anında ilgili şifreyi çözmek zorundadır. Ancak pratikte bu fark sürü için ne kadar önemli? Çoğu kullanıcı için otomatik doldurma zaten anlıktır.

Microsoft'un bu tasarım seçimi ile ilgili yapılan performans-güvenlik değerlendirmesinin ayrıntıları kamuya açıklanmadı. Chrome ekibinin tercihinde basitlik açık: saldırı yüzeyini daraltmak, ölçülemeyen bir performans kazancından daha değerli.

Üçüncü taraf yöneticiye geçmek, Chrome'a dönek ya da beklemek

Edge kullanıcılarının en güvenli seçeneği, tarayıcının şifre yöneticisini devre dışı bırakıp 1Password, Bitwarden veya KeePassXC gibi üçüncü taraf araçlara geçmektir. Bu uygulamalar şifreleri ayrı, şifrelenmiş bir kasa içinde tutuyor ve tarayıcı işlem belleğine aktarım sürelerini minimum düzeyde sınırlandırıyor. Çoğu modern şifre yöneticisi, dekrip edilmiş parolaları yalnızca otomatik doldurma anında ve kısa bir süre için bellekte tutuyor.

Pragmatik bir orta yol, Edge'i şifre gerektirmeyen göz atma için tutmak, önemli hesaplar için ise Chrome, Brave veya Vivaldi gibi alternatif Chromium tarayıcılarına geçmek. Bu yaklaşım, Edge'in performansını tercih eden ancak kritik kimlik bilgilerini riske atmak istemeyen kullanıcılar için uygun.

Kurumsal BT yöneticileri, Windows terminal sunucularında ve çok kullanıcılı ortamlarda Edge'in şifre yöneticisini Group Policy ile devre dışı bırakmalıdır. Bu ortamlarda yönetici erişimi kazanılması durumunda Edge'in bellekte tuttuğu şifre havuzu çok sayıda kullanıcıyı etkileyebilir. Terminal sunucularında Firefox veya Chrome gibi alternatif tarayıcıları varsayılan olarak ayarlamak, bu riski azaltır.

Ev kullanıcıları için temel güvenlik önlemi, yerel yönetici haklarını sınırlamak ve günlük göz atma için standart kullanıcı hesapları kullanmaktır. Ancak çoğu Windows ev kullanıcısı yönetici hesaplarıyla çalışıyor. Bu kullanıcılar için en pratik çözüm, üçüncü taraf şifre yöneticilerine geçmektir.

Okumaya devam et

Güvenlik
8 May 2026 7 dk

Copy Fail Sonrası Dirty Frag: Linux Çekirdeği Güvenliğinin Sınavı Başladı

İki haftada patlak veren Copy Fail ve Dirty Frag açıkları, Linux dağıtımlarının yama kabiliyetini zorladı. Cloudflare'nin Copy Fail'e karşı bir gecede BPF-LSM çözümü tasarlaması teknik başarı gösterirken, Theori'nin açıklamasından beş gün sonra yüzlerce saldırı kodunun ortaya çıkması, güvenlik araştırması camiasında ciddi bir güven sorunu yaratmış durumda.

ayrıcalık yükseltmeLinux güvenliği
Yapay Zeka
8 May 2026 8 dk

Perplexity, Mac'e yerel AI taşıyor: Bulut güvenliğinden kaçış mı, yoksa niş bir çözüm mü?

Perplexity Personal Computer, Mac Mini gibi sürekli açık duran cihazlarda yerel yapay zeka ajanlarını çalıştırarak, OpenClaw'un yüksek yetki seviyelerine karşı bir güvenlik çözümü sunuyor. Ancak Pro veya Max abonelik gerektiren bu yaklaşım, kitle pazarlaması yerine belirli bir kullanıcı grubunun ihtiyaçlarını karşılamak için tasarlanmış görünüyor.

Veri GüvenliğiAI Ajanları
Mobil & Cihazlar
8 May 2026 7 dk

Samsung Galaxy Watch 6 bayılmayı %84,6 doğrulukla önceden sezdi—peki laboratuvardan hayata geçebilir mi?

Samsung'un Kore'deki hastane çalışması, Galaxy Watch 6'nın fotopletismografi sensörü aracılığıyla kalp atış hızı değişkenliğini izleyerek vasovagal senkop (ani bayılma) olaylarını birkaç dakika öncesinden %84,6 doğrulukla tahmin edebildiğini ortaya koydu. Sonuç giyilebilir cihazların tıbbi izleme potansiyelini gösterse de, araştırma henüz akran incelemesini beklemekte ve gerçek dünya koşullarında bu başarı oranının korunup korunmayacağı belirsizliğini sürdürmektedir.

Sağlık TeknolojisiGiyilebilir Teknoloji