近日,网络安全领域曝出一项关于微软Edge浏览器的重大安全风险。据挪威安全专家披露,Edge浏览器会将用户保存的所有密码以明文形式驻留在进程内存中。这意味着,一旦设备遭到入侵,攻击者可以轻易批量窃取用户的全部账户凭证,造成严重的隐私与数据泄露威胁。
发现这一安全隐患的是资深渗透测试专家Tom Jøran Sønstebyseter Rønning。他在测试版本号为147.0.3912.98的Edge浏览器时发现,浏览器在启动时会自动解密所有已保存的密码。关键在于,这些解密后的明文密码会持续保留在内存中——即使用户从未在本次会话中访问相关网站,密码数据也不会被清除。

这一设计在主流浏览器中极为罕见。研究人员对比了多款基于Chromium内核的浏览器,发现Edge是唯一采用此种做法的产品。以谷歌Chrome为例,它仅在用户触发密码自动填充功能,或主动进入密码管理器查看时,才会解密对应的单条密码,并在使用后立即从内存中清除明文信息。
此外,Chrome还采用了应用绑定加密技术,将解密操作与经过认证的浏览器进程紧密关联,这显著增加了攻击者提取密码的难度。
相比之下,Edge的设计使得其密码保护机制存在明显缺陷。尽管在密码管理界面中,浏览器会要求用户重新输入系统密码进行验证,但这道“前门”防护无法阻止攻击者从“后窗”——即进程内存——直接读取全部明文密码。只要攻击者获得设备的本地访问权限,通过内存转储等简单操作,就能一次性获取所有密码。在共享终端或服务器环境中,风险尤为突出,攻击者甚至可能读取到其他已登录用户或未完全结束会话的用户的密码数据。
问题上报后,微软的回应引发了广泛讨论。微软明确表示,这并非安全漏洞,而是有意为之的设计选择。其理由是,这种做法可以优化用户登录时的性能体验,属于预期内的功能行为。
对于潜在的安全风险,微软强调,攻击成立的前提是设备本身已被入侵。因此,他们建议用户及时安装系统更新、避免运行恶意程序,以降低相关风险。
目前,研究人员已公开了相关的概念验证演示。他还计划在GitHub上发布一款检测工具,帮助普通用户检查自己的Edge浏览器是否存在此安全隐患。
面对这一情况,网络安全专家给出明确建议:使用Edge浏览器的用户应尽快将保存的密码迁移至专业的第三方密码管理工具,并彻底清除浏览器内存储的所有密码记录,从而从根本上避免信息泄露风险。

