文章总结： 安全研究发现微软Edge浏览器启动时会将所有保存的密码以明文形式加载至进程内存并持续驻留，与Chrome按需解密机制形成对比。该设计使任何能读取进程内存的攻击者可提取全部凭证，在多用户环境中风险尤为突出。微软称此行为符合设计并将风险归为超出威胁模型，建议用户迁移至具备应用绑定加密的浏览器。 综合评分： 85 文章分类： 漏洞分析,应用安全,终端安全

微软Edge浏览器启动时将所有保存的密码以明文形式存入进程内存

信安在线资讯

2026年5月6日 09:31 北京

在小说阅读器读本章

去阅读

研究发现

一位安全研究人员发现，微软Edge浏览器在启动瞬间会将所有存储的密码解密至进程内存，并以明文形式持续驻留——无论用户是否访问过相关网站。这项由PaloAltoNtwks Norway研究员@L1v1ng0ffTh3L4N于4月29日在BigBiteOfTech披露的发现，源于对主流Chromium浏览器凭证内存处理机制的系统性测试。

对比分析

Edge是唯一存在该行为的浏览器，其启动时会将整个密码库以明文形式加载至进程内存，并在整个会话期间保留。这与谷歌Chrome形成鲜明对比：

• Chrome采用按需解密机制，仅在自动填充或用户显式查看密码时解密凭证
• 通过应用绑定加密（App-Bound Encryption）技术，将解密密钥与经过身份验证的Chrome进程进行密码学绑定，防止其他进程复用密钥访问凭证

安全风险

Edge缺乏上述保护机制，从浏览器启动起，密码库中所有站点的凭证都以明文形式存在于进程内存中，这为能够读取进程内存的攻击者提供了持续、广泛的凭证提取目标。更矛盾的是：

• Edge在密码管理器界面仍会要求用户重新认证才显示密码
• 但浏览器进程早已以明文形式持有全部凭证，任何能查询进程内存者均可获取

这种重新认证机制仅营造了访问控制的假象，对基于内存的凭证提取毫无防护作用。在远程桌面服务（RDS）或终端服务器等多用户环境中，风险尤为严重——具备管理员权限的攻击者可同时读取所有登录用户进程的内存。

概念验证

随披露公布的概念验证视频显示，攻击者通过受控管理员账户成功从其他两名登录用户（包括会话已断开但进程仍活跃的用户）的Edge浏览器进程内存中提取出存储凭证。这使单次管理员账户沦陷演变为整个多用户环境的凭证全面泄露，直接对应MITRE ATT&CK攻击框架中的T1555.003（从Web浏览器获取凭证）技术。

厂商回应

微软在接到负责任的漏洞披露后回应称该行为”符合设计”。其公开文档承认浏览器内存中的凭证在本地攻击场景下可能被读取，但将此类场景划归为”超出浏览器威胁模型”。

应对建议

BigBiteOfTech同期发布了小型验证工具供用户确认Edge是否存在明文凭证内存驻留现象。安全团队应特别注意：

• 部署Edge的Windows终端服务器、虚拟桌面（VDI）等共享访问系统需将此视为高优先级配置风险
• 建议迁移至具备按需解密和应用绑定加密机制的浏览器，直至微软修正该设计

原文来源：FreeBuf

end

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信安在线资讯 《微软Edge浏览器启动时将所有保存的密码以明文形式存入进程内存》