Норвежский исследователь безопасности под ником @L1v1ng0ffTh3L4N обнаружил, что браузер Microsoft Edge при запуске расшифровывает все сохранённые пользовательские пароли и помещает их в оперативную память в открытом, незашифрованном виде. Пароли остаются в памяти процесса на протяжении всей сессии, независимо от того, посещает ли пользователь сайты, для которых эти учётные данные предназначены. Исследователь проверил несколько браузеров на движке Chromium и выяснил, что Edge оказался единственным, кто загружает весь набор паролей в память сразу при старте. В других браузерах, например в Google Chrome, пароли расшифровываются только в момент использования — при автозаполнении формы или при ручном просмотре списка сохранённых данных.

Подписаться на iGuides в Max, чтобы узнать обо всем первым — max.ru/iguides

В Microsoft подтвердили, что такое поведение является «задуманным» и укладывается в модель угроз компании, где атаки с физическим доступом к устройству не считаются приоритетным сценарием. Корпорация не планирует менять механизм работы менеджера паролей, так как сейчас главная задача — очистка программы от лишних функций. При этом сам браузер продолжает запрашивать повторную аутентификацию (например, через Windows Hello) при попытке пользователя посмотреть пароль в интерфейсе, создавая иллюзию дополнительной защиты.

Уязвимость становится особенно опасной в многопользовательских средах, таких как терминальные серверы или системы удалённого рабочего стола. Атакующий с правами администратора может прочитать память всех залогиненных пользовательских процессов и извлечь сохранённые пароли, в том числе из сессий, которые остаются открытыми в фоне. Исследователь опубликовал рабочий прототип инструмента EdgeSavedPasswordsDumper, демонстрирующий возможность извлечения учётных данных. Такое хранение паролей соответствует категории уязвимости CWE-316 — «Хранение конфиденциальной информации в открытом виде в памяти».

Для защиты своих данных специалисты рекомендуют пользователям Microsoft Edge отказаться от использования встроенного менеджера паролей и перейти на сторонние решения, такие как Bitwarden, KeePassXC или другие специализированные сервисы. Альтернативой может стать полное отключение функции сохранения паролей в настройках браузера, а также смена браузера на Google Chrome, который использует более безопасную модель с шифрованием по требованию и App-Bound Encryption для защиты ключей расшифровки. Организациям рекомендуется отключать встроенный менеджер паролей Edge через групповые политики в корпоративной среде.