原文:Microsoft Edge will load all your passwords into memory in plaintext, but Microsoft says it's not a security concern
人们发现,Microsoft Edge 在启动时加载到内存中时会以明文形式存储所有密码,从而使密码更容易被恶意软件或黑客读取和窃取。网络安全研究员 @L1v1ng0ffTh3L4N 发布了有关 X 上的漏洞的信息,并表示“Edge 是我测试过的唯一具有这种行为的基于 Chromium 的浏览器。”
“当你在 Edge 中保存密码时,浏览器会在启动时解密每个凭据,并将它们保留在进程内存中。即使你从未访问过使用这些凭据的网站,这种情况也会发生,”安全研究人员声称。 “如果攻击者获得终端服务器的管理访问权限,他们就可以访问所有登录用户进程的内存。”
Microsoft Edge 基于 Chromium,同样的基础也为 Chrome、Brave 和 Opera 等许多其他浏览器提供支持。然而,Edge 似乎是唯一一款在启动时使用明文将所有存储的密码加载到内存中的 Chromium 浏览器。例如,当用户请求在密码管理器或自动填充菜单中查看密码时,Chrome 只会将密码以明文形式加载到内存中。
Microsoft Edge 会以明文形式将所有保存的密码加载到内存中 - 即使您没有使用它们。 pic.twitter.com/ci0ZLEYFLB2026 年 5 月 4 日
我们联系了微软征求意见,发言人发表了以下声明:
“安全和安保是 Microsoft Edge 的基础。如所报告的场景中所述,访问浏览器数据需要设备已经受到损害。该领域的设计选择涉及平衡性能、可用性和安全性,我们将继续针对不断变化的威胁对其进行审查。浏览器访问内存中的密码数据,以帮助用户快速安全地登录 - 这是该应用程序的预期功能。我们建议用户安装最新的安全更新和防病毒软件,以帮助防范安全威胁。”
这意味着微软已经意识到了这种行为,并且并不认为这是有问题的。