微软Edge被爆将所有密码明文存内存

2026-05-06 16:24:35 0点赞 0收藏 0评论

微软Edge被曝在内存中以明文形式存储所有已保存的密码,安全研究人员测试后发现这种行为在其他Chromium浏览器中并不存在。尽管微软声称这是”按设计”的功能,但明文密码意味着攻击者可以更容易地提取用户凭据。不过利用该漏洞需要管理员权限,这在安全专家看来已经是系统被彻底攻陷的标志。你还在用Edge保存密码吗?

微软Edge被爆将所有密码明文存内存

Edge浏览器密码存储方式引关注

安全研究人员近日发现微软Edge浏览器存在一项独特的安全行为:在启动时,Edge会将所有已保存的用户密码加载到内存中,并在整个浏览器会话期间保持明文形式。研究人员测试了所有基于Chromium的浏览器后发现,Edge是唯一表现出这种行为的浏览器。值得注意的是,这种密码加载行为与用户是否访问过使用这些凭据的网站无关,即使从未使用过的密码也会被自动解密并存储在内存中。

微软Edge被爆将所有密码明文存内存

微软回应引发争议

安全研究员Tom Jøran Sønstebyseter Rønning向微软报告了这一发现。微软官方回复称,该行为属于”按设计”的正常功能,而非安全漏洞。这一回应在安全社区引发争议,因为明文存储密码使得攻击者更容易通过读取进程内存来提取已保存的凭据。相比之下,Chrome仅在需要时才解密密码,并采用应用绑定加密技术将密钥锁定到以SYSTEM身份运行的Chrome进程,密码仅在自动填充或用户查看时短暂显示为明文。研究人员表示将作为负责任的披露分享这一信息,以便用户和组织能够做出知情决定。

微软Edge被爆将所有密码明文存内存

利用条件与安全建议

专家同时指出,利用此漏洞需要系统上具备管理员权限,这在安全领域已被视为系统完全沦陷的标志。Cybernews已联系微软请其置评。具有终端服务器管理权限的攻击者理论上可以访问所有已登录用户进程的内存,甚至能在Edge运行时访问其他用户的密码。不过安全社区普遍认为,一旦攻击者获得管理员访问权限,系统防护已经被彻底突破,游戏基本结束。安全专家长期建议不要使用网页浏览器存储密码,因为肆虐的信息窃取恶意软件能够利用用户和系统弱点在几秒内提取凭据。最重要的防护措施是使用多因素身份认证,并尽可能迁移到passkey(通行密钥)作为更安全的替代方案。

展开 收起
0评论

当前文章无评论,是时候发表评论了
提示信息

取消
确认
评论举报

相关文章推荐

更多精彩文章
更多精彩文章
最新文章 热门文章
0
扫一下,分享更方便,购买更轻松