{"id":324594,"date":"2026-05-05T11:50:50","date_gmt":"2026-05-05T09:50:50","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=324594"},"modified":"2026-05-05T11:52:38","modified_gmt":"2026-05-05T09:52:38","slug":"daten-fails-firefox-druckt-passwoerter-edge-speichert-klartext-passwoerter-im-speicher-rdp-screen-fragmente-rekonstruierbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/05\/05\/daten-fails-firefox-druckt-passwoerter-edge-speichert-klartext-passwoerter-im-speicher-rdp-screen-fragmente-rekonstruierbar\/","title":{"rendered":"Daten-Fails: Firefox druckt Passw\u00f6rter, Edge speichert Klartext-Passw\u00f6rter im Speicher, RDP-Screen-Fragmente rekonstruierbar"},"content":{"rendered":"

\"StopIch kippe mal ein paar Infosplitter hier im Blog zu Daten-Fails in Software ein, die mir die Tage so untergekommen sind. Vor einigen Tagen hatte ich erw\u00e4hnt, dass der Firefox 150.x Passw\u00f6rter in Kennwortfeldern beim Ausdrucken im Klartext ausgibt. Die Nacht ist mir die Information untergekommen, dass der Microsoft Edge-Browser jegliche eingegebenen Passw\u00f6rter im Klartext im Speicher ablegt. Und bei RDP-Verbindungen bleiben Fragmente des Remote-Desktop im Speicher, aus denen man den Bildschirm rekonstruieren kann.<\/p>\n

<\/p>\n

\"\"Hintergrund des Artikels ist auch, dass einige Leser gem\u00e4\u00df Kommentaren zu diesem Artikel<\/a> glauben, dass ich \"a bisserl zu pessimistisch\" in meinen Beitr\u00e4gen sei. Wenn ich die t\u00e4glichen Sicherheitssplitter so sehe (weniger als 80 % schaffen es in den Blog), frage ich mich, wo ich den Optimismus eigentlich hernehmen soll. Zudem habe ich gestern mit halbem Ohr und einem Auge die Hirschhausen-Doku Deepfake-Betrug, der mit Menschenleben spielt<\/a> verfolgt. Mit dabei ein Sicherheitsexperte, der zeigt, was Datenbroker \u00fcber jeden Internetteilnehmer wissen und zusammen f\u00fchren. Mein Fazit: Wir haben l\u00e4ngst die Kontrolle \u00fcber unser digitales Leben verloren. Man kann nur noch versuchen, seinen Fu\u00dfabdruck zu minimieren. Hier die oben versprochenen Infos zu den letzten Daten-Fails.<\/p>\n

Firefox als \"Passwort-Drucker\"<\/h2>\n

Im April 2026 haben die Mozilla-Entwickler den Firefox Entwicklungszweig der Version 150 produktiv auf die Leute losgelassen. Ein Leser informierte mich, dass in der Version 150.0 der Firefox-Browser Formulare mit Passworteingabefeldern beim Ausdrucken sauber mit den eventuell eingetippten Kennw\u00f6rtern im Klartext ausgibt. Der Bug ist auch noch im Firefox 150.0.1 vorhanden (siehe\u00a0Firefox 150.0.1 freigegeben \u2013 FF 150 druckt Passw\u00f6rter im Klartext<\/a>).<\/p>\n

Der Edge speichert Kennw\u00f6rter als Klartext im Speicher<\/h2>\n

Die Nacht bin ich im Kontext einer \"senilen Bettflucht\" gleich mit dem n\u00e4chsten Fail konfrontiert worden. Denn als ich nach der Uhrzeit schauen wollte, sprang mich doch gleich der nachfolgende Tweet<\/a> auf X mit einem Edge Opsie an (ein Leser hat mich heute fr\u00fch hier<\/a> auch drauf hingewiesen, aber ich war beim Sport, daher ein Nachtrag).<\/p>\n

\"Edge-Fail:<\/a><\/p>\n

Tom J\u00f8ran S\u00f8nstebyseter R\u00f8nning l\u00e4sst in obigem Tweet ein Video mit der Aufnahme des Fensters einer Windows Eingabeaufforderung ablaufen. Dort sieht man, wie er einen \"Passwort-Dumper\" laufen l\u00e4sst. Dieses Tool kann auch dem Speicher des msedge.exe<\/em>-Prozesses Passw\u00f6rter direkt im Klartext extrahieren. Die Botschaft des Tweets:<\/p>\n

Microsoft Edge l\u00e4dt alle Ihre gespeicherten Passw\u00f6rter im Klartext in den Arbeitsspeicher \u2013 auch wenn Sie sie gerade nicht verwenden.<\/p><\/blockquote>\n

Edge verh\u00e4lt sich krude bzw. Voodoo-like<\/h3>\n

In Folge-Tweets erkl\u00e4rt der Sicherheitsforscher, dass, wenn Nutzer Passw\u00f6rter im Microsoft Edge speichert, der Browser beim Start alle Anmeldedaten entschl\u00fcsselt und diese im Klartext im Prozessspeicher vorh\u00e4lt.\u00a0Dies geschieht auch dann, wenn der Benutzer niemals eine Website besucht, deren Anmeldedaten im Edge bekannt sind, aber aktuell in einer Sitzung nicht verwendet werden.<\/p>\n

A bisserl lustig: Gleichzeitig verlangt der Edge-Browser, Microsoft hat ja eine\u00a0 Future Sicherheitsinitiative, eine erneute Authentifizierung, bevor dieselben Passw\u00f6rter in der Benutzeroberfl\u00e4che des Passwort-Managers angezeigt werden \u2013 obwohl der Browserprozess sie bereits alle im Klartext vorliegt, schreibt der Sicherheitsforscher.<\/p>\n

Einer meiner unbekannten kreolischen Vorfahren meinte immer \"Voodoo hilft Jungchen, musste nur feste dran glauben\". Ich habe sogar eine Puppe, da steht Microslop drauf, wo ich Nadeln rein gesteckt und einen Spruch aufgesagt haben. Aber ich glaube, die kreolischen Vorfahren haben gelogen, bisher hat Voodoo noch nie bei Sicherheitssachen geholfen.<\/p><\/blockquote>\n

Wie halten es andere Chromium-Browser?<\/h3>\n

Ich hab mich nat\u00fcrlich spontan gefragt: Zieht der Ungoogled Chromium dir auch die Passw\u00f6rter im Klartext unter dem Hintern weg und schreibt diese in den Arbeitsspeicher? Tom J\u00f8ran S\u00f8nstebyseter R\u00f8nning meint dazu: \"Edge ist der einzige Chromium-basierte Browser, den ich getestet habe, der sich so verh\u00e4lt<\/em>\". Warum? Der Edge verwendet den Microsoft Passwort Manager zur Speicherung von Passw\u00f6rtern.<\/p>\n

Im Gegensatz dazu verwendet Chrome ein Design, das es Angreifern erheblich erschwert, gespeicherte Passw\u00f6rter durch einfaches Auslesen des Prozessspeichers zu extrahieren, merkt der Experte an.\u00a0Der Chrome entschl\u00fcsselt Anmeldedaten nur bei Bedarf, anstatt alle Passw\u00f6rter st\u00e4ndig im Speicher zu halten. App-Bound Encryption (ABE) f\u00fcge eine weitere Sicherheitsebene hinzu, hei\u00dft es. Bei ABE wird die Entschl\u00fcsselung an einen authentifizierten Chrome-Prozess gebunden und so verhindert, dass andere Prozesse die Verschl\u00fcsselungsschl\u00fcssel von Chrome wiederverwenden.<\/p>\n

Aufgrund dieser Sicherheitsma\u00dfnahmen werden Passw\u00f6rter im Chrome nur kurzzeitig w\u00e4hrend der automatischen Ausf\u00fcllfunktion oder beim Anzeigen durch den Benutzer\u00a0 im Klartext angezeigt. Dadurch wird ein umfassendes Auslesen des Arbeitsspeichers deutlich weniger effektiv.<\/p>\n

Beim Terminalserver \"brennt die H\u00fctte\"<\/h3>\n

Das Risiko, Passw\u00f6rter im Klartext im Arbeitsspeicher zu belassen, wird in gemeinsam genutzten Umgebungen besonders deutlich. Der Sicherheitsexperte schreibt dazu: \"Erlangt ein Angreifer Administratorrechte auf einem Terminalserver, kann er auf den Arbeitspeicher aller angemeldeten Benutzerprozesse zugreifen.\"<\/p>\n

In obigem Video hat hat er das Szenario nachgestellt, dass der Angreifer ein Benutzerkonto mit Administratorrechten kompromittiert. Danach kann er die gespeicherten Anmeldedaten von zwei anderen angemeldeten (oder sogar nicht mehr verbundenen) Benutzern einsehen, wenn bei diesen der Microsoft Edge l\u00e4uft.<\/p>\n

Microsoft: Edge-Verhalten \"by design\"<\/h3>\n

Tom J\u00f8ran S\u00f8nstebyseter R\u00f8nning hat die obigen Erkenntnisse an Microsoft gemeldet. Die offizielle Antwort lautete, dass dieses Verhalten \"beabsichtigt\" sei (works as designed).<\/p>\n

Der Sicherheitsforscher hat Microsoft mitgeteilt, dass er diese Erkenntnisse im Rahmen einer verantwortungsvollen Offenlegung ver\u00f6ffentlichen w\u00fcrde, damit Benutzer und Organisationen fundierte Entscheidungen \u00fcber die Verwaltung ihrer Anmeldedaten treffen k\u00f6nnen.<\/p>\n

Am Mittwoch (29. April 2026) hat er die Erkenntnisse auf der BigBiteOfTech, ausgerichtet von Palo Alto Networks Norwegen ver\u00f6ffentlicht. Zudem hat er das zwischenzeitlich auf GitHub ver\u00f6ffentlichte<\/a>\u00a0kleine Tool EdgeSavedPasswordsDumper<\/em> als Proof of Concept (PoC) vorgestellt. Das ist das oben im Video gezeigte Tool zum Extrahieren der Passw\u00f6rter aus dem Arbeitsspeicher. Damit k\u00f6nnen Nutzer leicht erkennen, dass die Passw\u00f6rter im Klartext im Speicher abgelegt sind.<\/p>\n

Windows RDP und gespeicherte Desktop-Fragmente<\/h2>\n

Ende April 2026 ist mir dann noch folgender Tweet<\/a> untergekommen, der den n\u00e4chsten \"Opsi\" anspricht. Bei Remote Desktop-Sitzungen speichert Windows stillschweigend Fragmente des Desktop.<\/p>\n

\"Windows<\/a><\/p>\n

Angreifer k\u00f6nnen diese Fragmente abgreifen und sie mithilfe von zwei kostenlosen Tools und in etwa zehn Minuten zu lesbaren Screenshots zusammensetzen. Dazu sind keine besonderen Berechtigungen erforderlich. Hab das Thema aus Zeitmangel und wegen 1. Mai bisher nicht im Blog aufgegriffen. Sicherheitsexperten von scythe haben mehr Details im Blog-Beitrag\u00a0What Your RDP Sessions Leave Behind<\/a> ver\u00f6ffentlicht.<\/p>\n

Nur \"zum auf der Zunge zergehen lassen\": Laut dem \"Attack Surface Threat Report\" von Palo Alto Networks entfielen 32 % aller Sicherheitsprobleme auf der globalen Angriffsfl\u00e4che von Unternehmen auf RDP. Cyberangreifer-Gruppen wie BianLian, Medusa und Scattered Spider nutzten den RDP-Zugang im Jahr 2025 als prim\u00e4ren Einstiegspunkt. Sobald sie sich im System befinden, steht ihnen damit ein kostenloses Tool zur Rekonstruktion von Desktop-Inhalte zur Verf\u00fcgung, von dessen Existenz die meisten Verteidiger nicht einmal wissen. Und in Zeiten von KI d\u00fcrfte es f\u00fcr Angreifer ein Leichtes sein, die oben skizzierten Daten aus einem kompromittierten System f\u00fcr weitere Zwecke auszuweiten.<\/p>\n

Die Frage, die mich nun nur noch bewegt: Welches Zeug muss ich mir einwerfen, um noch optimistisch gestimmt unterwegs zu sein?<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"

Ich kippe mal ein paar Infosplitter hier im Blog zu Daten-Fails in Software ein, die mir die Tage so untergekommen sind. Vor einigen Tagen hatte ich erw\u00e4hnt, dass der Firefox 150.x Passw\u00f6rter in Kennwortfeldern beim Ausdrucken im Klartext ausgibt. Die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4461,1432,426,7459],"tags":[4201,44,3205,4328,3288],"class_list":["post-324594","post","type-post","status-publish","format-standard","hentry","category-edge","category-firefox-internet","category-sicherheit","category-software","tag-edge","tag-firefox","tag-rdp","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324594","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=324594"}],"version-history":[{"count":2,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324594\/revisions"}],"predecessor-version":[{"id":324601,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324594\/revisions\/324601"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=324594"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=324594"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=324594"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}