中文

Edge浏览器被曝在内存中明文加载全部密码 微软称“设计如此”

科技 Views 9

Edge浏览器被曝在内存中明文加载全部密码 微软称“设计如此”

2026年05月06日 06:17 次阅读 稿源:cnBeta.COM 条评论 Edge浏览器被曝在内存中明文加载全部密码 微软称“设计如此” Edge浏览器被曝在内存中明文加载全部密码 微软称“设计如此”

一名网络安全研究人员日前发布了一款概念验证工具,展示了 Microsoft Edge 在处理已保存密码时存在的安全隐患。 这名在网络上使用 Tom Jøran Sønstebyseter Rønning 名号的研究人员在包括 X 在内的社交平台分享了自己的发现,并给出了完整演示。

根据他的说法,Microsoft Edge 在浏览器启动时就会将用户已保存的账号密码,以明文形式加载到系统内存中,即便这些凭据当下并未被使用。 更耐人寻味的是,即使在所有密码都以未受保护的形式驻留在内存的情况下,浏览器仍然会继续要求用户重新登录。

为更直观地说明这一行为,研究人员在 GitHub 上发布了名为 “EdgeSavedPasswordsDumper” 的工具。 项目被定位为一款教育用途的实用程序,旨在帮助安全专业人士和普通用户验证浏览器环境中保存凭据的管理方式。 该工具通过访问浏览器的进程内存,来提取其中可能以可读形式存在的用户名和密码。

研究显示,Microsoft Edge 的父进程会持续持有这些已经解密的凭据,一旦攻击者获得足够的系统权限,这一进程就可能成为密码提取的目标。 对于运行共享帐号或多用户环境的组织而言,这种风险尤为突出,因为一旦拥有管理员权限的帐号遭到攻陷,攻击者就有机会访问多个活动会话中的数据。

需要指出的是,这种技术本身并不构成远程攻击手段,而是在攻击者已经取得高权限访问的场景下,成为进一步横向移动或窃取敏感信息的利器。 在这种情况下,通过常见的管理工具进行内存转储等操作,就有可能泄露存储在其中的登录信息。

研究人员的测试还发现,此问题似乎是 Edge 特有的行为,在其他基于 Chromium 的浏览器(例如 Google Chrome 和 Brave)中,并未观察到同样的模式。 后者通常只在需要时解密凭据,而不会将其长时间以明文形式保存在内存中。 不过,这并不意味着 Chrome 完全没有隐忧,例如此前就有报告指出,Chrome 在浏览器指纹保护这一重要隐私特性上落后于 Edge、Firefox 和 Brave 等产品。

更令人疑惑的是,当研究人员尝试向微软通报这一问题时,微软将其归类为“设计如此”(by design)。 除了这一说法之外,微软似乎并未提供更多回应或解释。

-

对文章打分

Edge浏览器被曝在内存中明文加载全部密码 微软称“设计如此”

1 (50%) 1 (50%)
  • 登录
Edge浏览器被曝在内存中明文加载全部密码 微软称“设计如此” [退出]

Edge浏览器被曝在内存中明文加载全部密码 微软称“设计如此” 发布
    显示更多评论

    最新资讯

    加载中...

    编辑精选

    加载中...

    热门评论

      相关文章

      • 微软将精简Windows 11版Edge 率先对侧边栏“开刀”

        • 前天 12:30

      • 浏览器联盟抨击微软强推Edge 指其借Windows 11新测试削弱用户选择权

        • 2026-4-3 16:18

      • 隐私研究员质疑微软Edge免费“VPN”宣传 更像代理而非真正VPN ​

        • 2026-2-23 13:59

      • 微软Edge 145稳定版更新 强化密码管理与PDF朗读体验

        • 2026-2-18 13:39

      • 微软将删除Microsoft Edge收藏集功能 用户必须提前导出数据

        • 2026-1-15 13:09

      Top 10

      本周 本月
      • 1

        微信朋友圈悄悄更新了,你发现了吗?

        阅读 (1058) 评论 (0)
      • 2

        DeepSeek连夜删掉的新论文到底说了什么

        阅读 (837) 评论 (0)
      • 3

        央视揭秘中方为何禁止Meta收购Manus

        阅读 (813) 评论 (4)
      • 4联想抛弃ThinkPad 20年经典设计:取消独立镁合金骨架
      • 5演员徐冬冬回应身上标签:可撕可不撕 有角色可演就很知足
      • 6蔡康永步步紧逼罗永浩 后者叹气破防 蔡康永:我其实对你很感兴趣
      • 7阿联酋宣布退出OPEC及OPEC+
      • 8Rufus重大更新:推出全新Windows 11安装方式 可大幅提升电脑性能
      • 9一图看懂DeepSeek V4与美国顶级AI差距:落后8个月
      • 10微软开源命令行编辑器Edit 2.0发布:支持语法高亮 还不到300KB
      • 1

        《纽约时报》称已确认比特币发明者中本聪的真实身份

        阅读 (5921) 评论 (0)
      • 2

        苹果被曝下调 iPhone 18 规格以压缩成本

        阅读 (2720) 评论 (0)
      • 3

        苹果宣布CEO交接 蒂姆·库克发布致全球苹果用户公开信

        阅读 (2108) 评论 (1)
      • 4GPT-6预计将于4月14日发布 性能暴增40%
      • 5第一批学AI的大学生,已经笑不出来了
      • 6《永劫无间》女解说黑衣黑脸反讽舆论 日本网友狂赞
      • 7微软无预警封停 WireGuard 与 VeraCrypt 开发者账号
      • 8陈冠希撞脸赵本山 网友感慨颜值断崖式下滑
      • 9韩国Naver宣布全面弃用阿里Qwen编码器
      • 10Claude复活30年前传奇游戏 仅用一个周末
      招聘
      推荐阅读:星辰云IDC | 权威网络骗子查询网