Edge 和密码:Microsoft 排除所有漏洞,但仍然会修复问题

Edge et les mots de passe : Microsoft exclut tout bug mais corrige quand même

Silicon.fr by Clément Bohic 2026-05-18 16:01 Original
摘要
安全研究员在5月指出,微软 Edge 会在启动时把已保存的密码以明文解密并持续保留在父进程内存中,即使用户未使用;在终端服务器等共享环境里,若攻击者获得管理员权限可读取所有用户的 Edge 进程从而窃取密码。微软此前认为这是符合其威胁模型、并非漏洞(与 Chromium 的“物理本地/设备已被攻破后”不纳入安全模型类似),但在“纵深防御”背景下已在最新稳定版 Edge 中修复:启动时不再加载这些内存中的明文密码。

Microsoft Edge 最新稳定版已不再在启动时把已保存密码全部载入内存,这一改动并非微软一开始就认可的“修复”。今年 5 月,安全研究员 Tom Jøran Sønstebyseter Rønning 发现,Edge 会在启动时解密所有存储的密码,并将其持续以明文保存在父进程内存中,即使用户并未使用这些密码也一样。

研究员给出的 PoC 显示,这种设计在共享环境中尤其危险,例如终端服务器:一旦攻击者在机器上获得管理员权限,就可能读取所有 Edge 进程中的密码信息,覆盖所有已登录或未登录用户。相比之下,他指出其他基于 Chromium 的浏览器并没有这种行为;这些浏览器通常只在需要时才解密密码,而且在 Windows 上还会使用 app-bound encryption,限制其他进程复用密钥,从而提高提取难度。

微软当时的回应是,这并不构成 bug,而是符合其威胁模型的正常行为。其核心观点是:真正的风险只会在设备已经被攻陷之后出现,而在这种情况下,任何浏览器甚至任何应用都难以自保,因此这类问题不在安全漏洞的定义范围内。微软的立场也与 Chromium 项目保持一致:如果攻击者已经控制了设备,通过检查浏览器文件或内存来获取密码,不被视为安全 bug。Chromium 对“physically-local”攻击同样不纳入安全模型,例如通过加载恶意 DLL、连接 API 或篡改设备配置等方式发起的攻击。

不过,在“defense in depth(纵深防御)”理念以及 Secure Future Initiative 的背景下,微软最终还是改变了做法,尽管它并未承认这是在修复一个漏洞。

Summary
Microsoft has released a stable update to Microsoft Edge that stops loading saved passwords into process memory in cleartext at startup, after a security researcher demonstrated that Edge kept decrypted passwords in memory even when not in use—an issue particularly risky on shared terminal-server environments where an admin-level attacker could inspect other users’ Edge processes. Microsoft initially argued the behavior matched its threat model (and said the risk is out of scope unless the device is already compromised), aligning with Chromium’s stance that physically-local attacks aren’t considered security bugs, but it later changed course under a defense-in-depth approach. The fix reduces the impact of post-compromise memory inspection attacks and improves password handling on Windows.

Microsoft has now changed Edge so that the stable version no longer loads saved passwords into memory at startup, even though the company had initially argued that the behavior was not a security bug.

The issue was raised in early May by a security researcher who showed that all passwords stored in Edge were decrypted when the browser launched and then kept continuously, in cleartext, in the parent process memory — whether they were being used or not. He argued this was especially dangerous in shared environments such as terminal servers, where an attacker with admin privileges on a machine could inspect Edge processes belonging to all users, logged in or not. He also provided a proof of concept and noted that other Chromium-based browsers did not behave this way: in those browsers, password decryption happens only on demand and, on Windows at least, app-bound encryption prevents other processes from reusing the keys.

Microsoft’s response was essentially “it’s not a bug, it’s a feature.” The company maintained that the risk only exists after a device has already been compromised, a scenario in which any browser — and even any application — is considered defenseless and therefore outside the security scope. Chromium takes a similar view: it does not classify as a security bug the case where an attacker who already controls a device can retrieve passwords by examining browser files or memory. More broadly, so-called “physically-local” attacks are excluded from the threat model, including compromise via a malicious DLL, an API connection, or other tampering with the device configuration.

Despite that position, Microsoft has now reversed course in the name of “defense in depth,” with its Secure Future Initiative also in the background. The company has not framed the change as a fix for a bug, but Edge’s latest stable release no longer keeps passwords loaded in memory at startup.

Résumé
Microsoft a corrigé dans la dernière version stable d’Edge un comportement jugé “normal” jusque-là : au démarrage, le navigateur ne chargeait plus les mots de passe enregistrés en mémoire en clair, même lorsqu’ils n’étaient pas utilisés. L’alerte venait d’un chercheur en sécurité (Tom Jøran Sønstebyseter Rønning) qui avait montré, PoC à l’appui, que des mots de passe restaient déchiffrés en continu dans le processus, ce qui pouvait poser problème sur des environnements partagés (ex. serveurs terminal) en cas de privilèges admin. Bien que Microsoft et Chromium considèrent ce risque comme hors modèle (après compromission de l’appareil), la correction réduit l’exposition mémoire et améliore la sécurité “defense in depth”.

La dernière version stable d’Edge ne charge plus les mots de passe en mémoire au démarrage.

Cet ajustement n’était pas acquis. Microsoft considérait effectivement que ce comportement était normal au regard du modèle de menace du navigateur. Il l’avait fait savoir au chercheur en sécurité qui l’avait alerté à ce sujet. C’était début mai.

Des mots de passe en clair… en continu

L’intéressé avait plus précisément montré que tous les mots de passe stockés dans Edge étaient déchiffrés au lancement et conservés continuellement dans la mémoire du processus parent, en clair, qu’ils soient utilisés ou non.

Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them. pic.twitter.com/ci0ZLEYFLB

— Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) May 4, 2026

La situation, expliquait-il, était d’autant problématique dans les environnements partagés de type serveur terminal. Et pour cause : un attaquant disposant des privilèges admin sur une machine pouvait accéder aux processus Edge de l’ensemble des utilisateurs, connectés ou non.

Ayant accompagné ses déclarations d’un PoC, le chercheur avait ajouté que les autres navigateurs basés sur Chromium ne présentaient pas ce comportement. En extraire les mots de passe est plus difficile, clamait-il : le déchiffrement n’est fait qu’à la demande et – tout du moins sur Windows – le chiffrement lié à l’application (app-bound encryption) empêche la réutilisation des clés par d’autres processus.

Microsoft, aligné sur l’approche du projet Chromium

« It’s not a bug, it’s a feature », avait, en substance, rétorqué Microsoft. Depuis, sa position n’a pas changé : le risque ne se présente qu’après compromission de l’appareil, situation dans laquelle tout navigateur – et même toute application – est démuni. Il est par là même hors périmètre.

Le projet Chromium a la même approche. N’est pas classé comme bug de sécurité le fait qu’un attaquant ayant le contrôle d’un appareil accède aux mots de passe en inspectant les fichiers ou la mémoire du navigateur. Plus globalement, attaques « physiquement locales » (physically-local) ne font pas partie du modèle de sécurité. On entend là, par exemple, la compromission par le chargement d’une DLL malveillante, par la connexion d’une API ou par une autre altération de la configuration de l’appareil.

Au nom de la « défense en profondeur », avec notamment sa Secure Future Initiative en toile de fond, Microsoft a tout de même fini par changer son fusil d’épaule…

Illustration générée par IA

The post Edge et les mots de passe : Microsoft exclut tout bug mais corrige quand même appeared first on Silicon.fr.

AI Insight
中文 EN
Core Point

Edge 最新稳定版已在启动时不再把已保存密码解密并加载到内存中,因其此前被安全研究者指出在父进程中以明文持续保留,可能在终端服务器等共享环境下被具备管理员权限的攻击者窃取。

Key Players

Microsoft Edge — 基于Chromium的浏览器,微软(美国)

Tom Jøran Sønstebyseter Rønning(安全研究者) — 发现并提供PoC的安全研究员

Chromium 项目 — 浏览器引擎开源组织,Google(美国)主导

Industry Impact
  • ICT: High — 浏览器凭据处理方式从“启动即明文驻留”调整,直接影响凭据窃取风险
  • Computing/AI: Low — 事件不涉及AI能力变化
  • Terminals/Consumer Electronics: Medium — 影响Windows终端/共享服务器场景的账号安全
Tracking

[Strongly track / Monitor] — 浏览器凭据内存与解密时机属于高价值攻击面,且微软已从“非bug”转向修复,后续可能影响更多Chromium系实现与安全基线。

Related Companies
neutral
neutral
Categories
软件 网络安全
AI Processing
2026-05-18 16:08
openai / gpt-5.4-nano