2026年5月18日更新:微软最初称Edge明文密码行为是“故意设计”,如今已改变立场。自微软Edge(Microsoft Edge)版本148起,浏览器将不再以未加密形式加载所有密码。
原文(2026年5月5日):如果你习惯在浏览器中保存密码,需要更加小心。挪威安全研究员汤姆·约兰·松斯特比塞特·伦宁(Tom Jøran Sønstebyseter Rønning)发现微软Edge存在严重漏洞——密码以明文形式存储在内存中,他在社交媒体上公布了这一发现。
任何拥有本地访问权限的恶意用户都能轻松拦截你存储的所有密码,即使这些密码在本次会话中从未被使用过。攻击者可以简单地检索并复制明文密码。在视频中,伦宁演示了这一过程。
微软Edge密码管理器的严重缺陷
该漏洞影响微软Edge的密码管理器。通常,密码管理器采用端到端加密,并将密码存储在云端,以便用户随时访问。当需要使用密码时,管理器会解密密码,使用后随即清除。
而微软Edge将所有密码以未加密形式持续加载,这既反常又危险。其他密码管理器(包括浏览器内置的)都不会如此运作——伦宁表示,微软Edge是他测试过的唯一具有此行为的Chromium内核浏览器。
虽然微软Edge要求身份验证才能查看密码管理器中的内容,但攻击者只需读取RAM即可获取密码,这层保护形同虚设。
是故意为之还是漏洞
伦宁将其发现告知微软后,得到了意想不到的回应。据ITavisen报道,微软Edge的密码管理行为是“故意设计决定,而非漏洞”。目前尚不清楚这种设计对用户有何益处。
伦宁决定向用户发出警告,并计划在GitHub上发布自己的工具,任何用户都可以用它检查自己的微软Edge密码是否以明文形式存储。
如果你使用微软Edge并在浏览器中保存了密码,应迁移到真正安全的专用密码管理器,然后从微软Edge中删除所有密码。不知从何入手?可以查看PCWorld评选的最佳密码管理器。
