一位安全研究人员于 2026 年 4 月 29 日透露,Microsoft Edge 在启动时会将每个存储的密码解密到进程内存中,并在整个会话中以明文形式保存它们,无论用户活动如何。 BigBiteOfTech 上公布的这一发现引起了人们对共享 Windows 环境中凭据处理的严重担忧。据《网络安全新闻》报道,这位名为 @L1v1ng0ffTh3L4N 的研究人员对主要的基于 Chromium 的浏览器进行了系统分析,结果显示 Edge 是唯一在启动时将整个密码库保存在明文内存中的浏览器。
该披露包括一个公共验证工具,允许用户检查他们的 Edge 浏览器是否持有明文凭据。 5 月 4 日,研究员 Tom Joran Sonstebyseter Ronning 发布了一段展示研究结果的视频,不久后就收到了 5,900 条回复。微软对这一披露作出回应,称这种行为是“设计使然”。
Edge 的密码处理与 Google Chrome 的做法截然不同。网络安全新闻强调,Chrome 采用按需解密,仅在必要时解锁凭据,并利用应用程序绑定加密,将解密密钥绑定到经过身份验证的进程。相比之下,Edge 从启动那一刻起就将所有保存的凭据加载为明文,从而使它们面临潜在的基于内存的提取攻击。
尽管在泄露密码之前提示用户重新进行身份验证,但可以在内存中访问相同的凭据,从而使此类提示对基于内存的攻击无效。高级安全运营专家 Angus Holliday 澄清说,微软的应用程序绑定加密可以保护静态数据,但不能保护内存。 Microsoft 的策略文档于 2026 年 1 月 27 日更新,指出禁用应用程序绑定加密可能会允许未经授权的应用程序访问加密密钥。
此漏洞在共享或多用户环境中很明显。具有管理权限的攻击者可以读取所有登录用户进程的内存,从而导致多个用户的凭据可能被泄露。公开的概念验证视频演示了管理员帐户通过访问 Edge 进程内存成功提取其他用户存储的凭据。
微软承认,其有关 Edge 密码管理器的公开文档认识到内存凭据的漏洞,但将此类攻击归类为浏览器威胁模型之外的攻击。该文档警告说,本地攻击或恶意软件可以访问解密的浏览器存储,引发人们对 Edge 设计固有风险的担忧,特别是对于标准化其使用的组织而言。
首席信息安全官 Mike Pedrick 指出,一些组织强制将 Edge 作为唯一允许的浏览器,将标准化置于安全之上。 《网络安全新闻》建议,在 Microsoft 修改此设计问题之前,使用 Edge 操作 Windows 环境的安全团队应考虑迁移到具有更好安全实践的浏览器。
截至 2025 年第一季度,在全球浏览器市场中,Edge 占据 7.018% 的份额,排名第三,仅次于 Chrome 和 Safari。然而,它在企业环境中的市场份额要高得多,在企业环境中,Edge 通常是托管 Windows 设备上的默认浏览器,这引起了数据处理问题,特别是在营销和广告领域。
<小时/>
