Palo Alto Networks Norway 資安研究員 @L1v1ng0ffTh3L4N 在早前舉行的 BigBiteOfTech 資訊安全大會中披露,微軟(Microsoft)Edge 啟動後會即時解密使用者密碼管理器內所有帳號密碼,資料更以明文(cleartext)形式存放於記憶體,即使使用者從未開啟相關網站,密碼也會持續留存。Microsoft 回應指此行為屬預設設計(by design),拒絕視為漏洞修復。
資安研究員測試各款主流 Chromium 核心瀏覽器後,發現 Microsoft Edge 是唯一出現這種行為的瀏覽器。相比之下 Google Chrome 採用按需解密(on-demand decryption)機制,僅在使用者查看密碼或觸發自動填表時,才將憑證以明文載入記憶體,並配合 App-Bound Encryption 技術防止其他程式存取。Firefox 則要求使用者設定主密碼(Primary Password)才可解密憑證,確保明文不會在未經授權下出現。
更諷刺的是 Microsoft Edge 介面顯示密碼前雖要求驗證身分,但程式本身早已將所有密碼存於記憶體,讓驗證關卡形同虛設,無法阻止讀取記憶體的攻擊者。
多使用者環境風險最高
此問題於 Remote Desktop Services(RDS)或企業伺服器等共用環境風險尤為嚴峻。攻擊者取得管理員權限後,可同時讀取所有已登入使用者的 Edge 記憶體,一次過獲取多個帳號密碼。@L1v1ng0ffTh3L4N 發布的概念驗證影片顯示,研究員利用已入侵的管理員帳號,成功從兩名使用者的 Edge 記憶體提取憑證。此手法對應 MITRE ATT&CK T1555.003(從瀏覽器提取憑證)。
Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them. pic.twitter.com/ci0ZLEYFLB
— Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) May 4, 2026
Microsoft 的「劇場式安全」
Microsoft 至今維持預設設計立場,指瀏覽器記憶體遭本機攻擊不屬 Edge 安全威脅模型範疇。Microsoft 雖宣布今年 6 月 4 日前強制使用者改用 Windows Hello(生物特徵或 PIN)查看密碼,但改動僅保護介面,記憶體明文問題依舊。Microsoft 早前已取消 Edge 自訂主密碼功能,並將內置密碼管理器定位為推薦選項,讓問題更值得關注。
使用者應考慮停止使用 Edge 內建密碼管理器儲存敏感帳號密碼,改用獨立工具如 Bitwarden 或 1Password 等。企業使用者需評估終端伺服器及 VDI 環境的 Edge 使用風險。如有需要,可利用 @L1v1ng0ffTh3L4N 發布的工具自行確認記憶體是否存有明文密碼。
科技新報粉絲團
加入好友
訂閱免費電子報
