Palo Alto Networks Norway 资安研究员 @L1v1ng0ffTh3L4N 在早前举行的 BigBiteOfTech 资讯安全大会中披露,Microsoft Edge 启动后会即时解密用户密码管理器内所有帐号密码,资料更以明文(cleartext)形式存放于记忆体,即使用户从未开启相关网站,密码亦会持续留存。Microsoft 回应指此行为属预设设计(by design),拒绝视作漏洞修复。
问题根源
资安研究员测试各款主流 Chromium 核心浏览器后,发现 Microsoft Edge 是唯一出现这种行为的浏览。相比之下 Google Chrome 采用按需解密(on-demand decryption)机制,仅在用户查看密码或触发自动填表时,才将凭证以明文载入记忆体,并配合 App-Bound Encryption 技术防止其他程式存取。Firefox 则要求用户设定主密码(Primary Password)才可解密凭证,确保明文不会在未经授权下出现。
更讽刺的是 Microsoft Edge 介面显示密码前虽要求验证身份,但程式本身早已将所有密码存于记忆体,令验证关卡形同虚设,无法阻止读取记忆体的攻击者。
多用户环境风险最高
此问题于 Remote Desktop Services(RDS)或企业伺服器等共用环境风险尤为严峻。攻击者取得管理员权限后,可同时读取所有已登入用户的 Edge 记忆体,一次过获取多个帐号密码。@L1v1ng0ffTh3L4N 发布的概念验证影片显示,研究员利用已入侵的管理员帐号,成功从两名用户的 Edge 记忆体提取凭证。此手法对应 MITRE ATT&CK T1555.003(从浏览器提取凭证)。
Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them. pic.twitter.com/ci0ZLEYFLB
— Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) May 4, 2026
Microsoft 的「剧场式安全」
Microsoft 至今维持预设设计立场,指浏览器记忆体遭本机攻击不属 Edge 安全威胁模型范畴。Microsoft 虽宣布 2026 年 6 月 4 日前强制用户改用 Windows Hello(生物特征或 PIN)查看密码,但改动仅保护介面,记忆体明文问题依旧。Microsoft 早前已取消 Edge 自订主密码功能,并将内置密码管理器定位为推荐选项,令问题更值得关注。
用户应对建议
用户应考虑停止使用 Edge 内置密码管理器储存敏感帐号密码,改用独立工具如 Bitwarden 或 1Password 等。企业用户需评估终端伺服器及 VDI 环境的 Edge 使用风险。如有需要,可利用 @L1v1ng0ffTh3L4N 发布的工具自行确认记忆体是否存有明文密码。
资料来源:Cyber Security News