微软Edge浏览器被曝以明文形式存储密码于内存中
安全研究人员Tom Joran Sonstebyseter Ronning发现,微软Edge浏览器在内存中以明文形式存储用户密码。用户在使用Edge密码管理器保存密码后,Ronning通过内存转储技术成功恢复了明文密码。
该问题的根源在于,Edge在完成一次身份验证后,会加载所有网站的密码至内存,即使用户未访问这些网站。这一机制与谷歌Chrome形成鲜明对比:Chrome仅在用户访问特定网站时加载对应密码,并在密码填充后立即从内存中清除。
微软回应称,此类数据访问需设备已被恶意软件感染,即“设备已被攻陷”。但Ronning指出,拥有管理员权限的用户可通过该机制访问其他已登录账户的密码,扩大了潜在风险。
微软在声明中表示:“设计决策需在性能、可用性与安全性之间取得平衡,我们正持续针对不断演变的威胁进行评估。”公司强调,浏览器访问内存中的密码数据以实现快速安全登录,属于预期功能,并建议用户安装最新安全更新及杀毒软件以防范威胁。
该漏洞虽未直接暴露于网络攻击,但对本地系统安全构成潜在威胁,尤其在多用户共享设备或管理员权限被滥用的场景下影响显着。
编辑点评
此事件揭示了浏览器在用户体验与安全防护之间存在的经典权衡问题。尽管微软强调攻击者需先控制设备,但内存明文存储密码显着增加了本地横向移动攻击的风险,尤其在企业或家庭多用户环境中。与Chrome等竞争对手相比,Edge在密码管理的安全设计上存在明显短板,可能影响用户对其安全性的信任。从全球技术生态看,此类漏洞虽不构成系统性危机,但对数字隐私保护意识的提升具有警示意义。未来浏览器厂商需在性能优化的同时,强化内存数据加密与访问控制,尤其是在多用户场景下。此外,该事件也凸显了开源安全社区在推动技术透明与漏洞披露中的关键作用。