近日,挪威滲透測試領域專家Tom Joran Sonstebyseter Ronning曝出微軟Edge瀏覽器重大安全隱患:用戶保存的所有密碼,會以明文形式儲存在進程記憶體中,存在極高的賬號資訊泄露風險。
Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them.
該研究員在測試Edge147.0.3912.98版本時發現,瀏覽器啟動瞬間便會解密全部已保存密碼,且明文密碼全程駐留記憶體,即便用戶未訪問需登錄的網站也不會清除。這一設計在主流瀏覽器中極為罕見,同為Chromium核心的Chrome,僅在需要時解密單條密碼且使用後立即清除,還配有加密防護提升攻擊門檻。而Edge的保密設計形同虛設,攻擊者獲取設備本地訪問權限後,通過簡單記憶體轉儲就能批量竊取密碼,共享終端場景下風險更高。
目前,研究員已上報該問題,但微軟回應稱這是刻意設計,目的是優化登錄性能,並非漏洞,還建議用戶更新補丁規避風險。研究員已公開演示,並計劃發布自查工具。業內人士則建議Edge用戶將密碼遷移至第三方密碼管理器,刪除瀏覽器保存的密碼以規避風險。對此,你怎麼看呢?歡迎在留言區留言討論。
