Badacz bezpieczeństwa ujawnił, że Microsoft Edge odszyfrowuje każde zapisane hasło w pamięci procesowej po uruchomieniu przeglądarki, zachowując je w postaci zwykłego tekstu przez całą sesję, niezależnie od tego, czy użytkownicy odwiedzają powiązane witryny. Badacz, znany jako @L1v1ng0ffTh3L4N, przedstawił odkrycie na BigBiteOfTech i potwierdził w testach, że Edge jest wyjątkowy wśród głównych przeglądarek opartych na Chromium pod względem tego zachowania.
Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them. pic.twitter.com/ci0ZLEYFLB
— Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) May 4, 2026
Podczas wydarzenia zorganizowanego przez PaloAltoNtwks Norwegia badacz zaprezentował także publiczne narzędzie weryfikacyjne, umożliwiające użytkownikom sprawdzanie danych uwierzytelniających w postaci zwykłego tekstu w pamięci procesu Edge. Następnie 4 maja 2026 r. wyemitowano demonstrację wideo, która zgromadziła prawie 6000 odpowiedzi na platformach mediów społecznościowych.
Odpowiedź firmy Microsoft wskazała, że sposób obsługi jest „zgodny z projektem”. Kontrast z Google Chrome jest wyraźny; Chrome odszyfrowuje dane uwierzytelniające tylko wtedy, gdy jest to potrzebne, korzystając z funkcji odszyfrowywania na żądanie i szyfrowania związanego z aplikacją, które wiążą klucze odszyfrowujące z uwierzytelnionym procesem przeglądarki, aby zapobiec nieautoryzowanemu dostępowi.
W Edge brakuje tych zabezpieczeń, co oznacza, że każde zapisane dane uwierzytelniające stają się podatne na ataki, ponieważ od momentu uruchomienia pozostają widoczne w postaci zwykłego tekstu. Warto zauważyć, że przeglądarka monituje użytkowników o ponowne uwierzytelnienie przed ujawnieniem haseł, mimo że wszystkie dane uwierzytelniające są nadal widoczne w pamięci, co podważa skuteczność tego środka bezpieczeństwa.
Angus Holliday, starszy specjalista ds. operacji bezpieczeństwa, zwrócił uwagę, że polityka szyfrowania aplikacji nie zabezpiecza danych w pamięci, a jedynie klucze szyfrujące dane przechowywane lokalnie. Dokumentacja Microsoftu potwierdza, że lokalne ataki i luki w zabezpieczeniach złośliwego oprogramowania nie mieszczą się w modelu zagrożeń przeglądarki.
Szczególnie zagrożone są środowiska współdzielone lub środowiska z wieloma użytkownikami, w których uprawnienia administracyjne umożliwiają atakującemu dostęp do pamięci wszystkich zalogowanych użytkowników. Weryfikacja koncepcji pokazała, w jaki sposób konto administratora może wyodrębnić przechowywane dane uwierzytelniające z pamięci procesów Edge innych użytkowników, co budzi poważne obawy dotyczące bezpieczeństwa organizacji.
Wielu specjalistów z branży skrytykowało podejście Microsoftu na platformach takich jak LinkedIn, opowiadając się za silniejszymi środkami ochronnymi przed lokalnymi atakami. Istniejąca dokumentacja wskazuje, że Microsoft Edge nie jest w stanie zabezpieczyć się przed zagrożeniami zagrażającymi całemu urządzeniu.
Organizacje korzystające wyłącznie z Edge są narażone na zwiększone ryzyko konfiguracyjne ze względu na celowy wybór projektu, a nie naprawialną wadę. Obawy te są jeszcze większe w przypadku przedsiębiorstw zajmujących się wdrażaniem serwerów terminali, VDI i systemami dostępu współdzielonego.
