就在最近,有一位来自挪威的网络安全方面的专家,发现了一个相当重大的问题。其中,微软Edge浏览器,会将用户所保存的密码,直接以明文的形式存在于电脑的内存之中。这之中意味着,只要攻击者能够拿到电脑的访问权限,便能够非常轻松地偷走所有存储过的密码,甚至连破解这个行为都不需要。
真实测试结果很直观
那位被称作Tom Jøran Sø Rønning的研究员,于2026年5月上旬,公布了测试的进程。他察觉到,Edge浏览器在启动之际,便会自行解密全部保存的密码,无论用户是否会 Usage 这些密码。他针对市面上所有主流的浏览器展开了测试,唯独Edge呈现出这种将密码径直暴露于内存之中的行径。
按照要求改写后的内容:Rønning于测试报告当中写道,诸如Chrome、Firefox以及Safari等别的浏览器均不存在这个问题,那些浏览器唯有于用户实际有填充密码之需求时才会临时性进行解密,一旦用完便予以清除,然而Edge却是不加区分地全部解密,随后将明文密码长时间留存于内存里。
攻击难度不算太高
要借助此漏洞,攻击者得取得终端服务器的管理员权限,表面瞧这已然是颇为严重的安全入侵了,然而实际情形更为糟糕许多公司存在多个人员共同享用一台服务器的状况,每个职员皆拥有管理员账户因此使得攻击具备了可行性。
更让人忧心的是普通家用电脑,绝大多数Windows用户会以默认的管理员账户登录系统,一旦电脑被植入木马病毒,或者有人短时间接触你的电脑,便能够读取内存里的明文密码,这种情形在日常生活中极为常见。
微软的回应让人意外
发现问题后,Rønning就立马向微软报告,微软安全团队迅速给出回复,称此行为是设计造成的,并非安全漏洞,这表明微软早就知晓该问题,却选择不去修复它。许多安全专家对这个回应感到难以置信。
类似的报告,实际上在去年就已经有人提交上去了。在2025年的时候呢,一位有着代号@的安全研究员察觉到了完全一模一样的问题。微软在当时给出的回复呀,同样也是如此这般:经历过详细的调查之后,评估认定为并非漏洞,并不涉及安全方面的问题,不符合修复所需要达到的标准。这也就表明了此种状态起码已经存在了一年多这么长的时间。
共享环境风险最突出
一家名为Cyber的网络安全公司专门指出,在共享环境当中,这个问题摇身一变成为了密码收割机,举例来说,公司里那些多人共同使用的终端服务器,学校机房内的公共电脑,图书馆里的公共终端,只要有一个人借助Edge保存了密码,管理员便能够看到所有登录用户的内存数据。
不少企业为求管理之便,给好些员工赋予了管理员权限,运维人员、技术支撑人员、开发人员常常均拥有管理员账号,倘若其中任一者存有恶意或者账号遭盗,便能够窃取所有同事在Edge中所保存的密码,这于企业而言是极大风险。
密码管理器的对比
有额外保护措施的是其他密码管理工具,像1Password、Bitwarden这类专业密码管理器,观看密码的话得输入主密码,两步验证还得需要手机验证码,即便是攻击者获取了电脑访问权限,也没办法直接看到明文密码。
可是,Edge浏览器的表现好似全然没有设防一般。只要进程处于运行状态,所有密码就会以原始的样子待在内存之中,静等着被人取走。这状况等同于把保险箱钥匙插在了锁孔之上,随后告知用户如此设计属于蓄意所为。这与其他浏览器的安全举措构成了鲜明的对照。
用户应该怎么做
要是你身为Edge浏览器使用者,特别是常在共享电脑那儿使用,那就建议当下立刻着手采取举措。头一个选项是换用比方说Chrome或Firefox之类的别的浏览器。第二个选项是转而使用专业密码管理器,别去依赖浏览器自身所配备的功能。第三个方面是不要在不同的多台电脑之上留存同一份密码。
身为企业 IT 管理员,得去审查究竟是谁持有管理员权限,要将那些没必要的管理员账户降为普通用户,还要部署终端检测工具,对内存读取行为予以监控,最后要提醒所有员工,千万别在 Edge 里留存工作相关的重要密码,特别是企业系统登录凭证 句号。
你认为浏览器制造厂商应当将用户密码的安全性置于首要位置,还是说为了获取便利能够舍弃一部分安全性呢?欢迎到讨论评论的区域去讲述你内心的观点,要是觉得这一篇文章对你有协助作用,那就请点赞并且转发给更多的友人。
