文章总结： 安全研究人员发现微软Edge浏览器启动时会将所有保存的密码以明文形式解密到进程内存中且全程保留，与Chrome按需解密机制形成对比。该设计被微软确认为有意为之，在多用户环境中会放大风险，建议安全团队将其视为高优先级配置风险。 综合评分： 78 文章分类： 漏洞分析,应用安全,终端安全

Microsoft Edge 在启动时将所有已保存的密码以明文形式存储在进程内存中

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年5月5日 19:28 北京

在小说阅读器读本章

去阅读

一位安全研究人员发现，微软 Edge 浏览器会在启动时立即将所有存储的密码解密到进程内存中，并以明文形式保存，无论用户是否访问过这些网站。

4 月 29 日，PaloAltoNtwks Norway 在 BigBiteOfTech 上公布了这一发现。该发现是由研究员 @L1v1ng0ffTh3L4N 发现的，他系统地测试了所有主流的基于 Chromium 的浏览器的凭据内存处理行为。

Edge 是唯一表现出这种行为的浏览器，它在启动时将整个密码库加载到明文进程内存中，并在会话期间保留它。

这与谷歌Chrome浏览器形成了鲜明对比。Chrome采用按需解密机制，这意味着只有在自动填充页面或用户明确查看已保存密码时才会解密凭据。

Chrome 通过应用绑定加密进一步加强了安全性，它将解密密钥加密绑定到经过身份验证的 Chrome 进程，防止其他进程重用这些密钥来访问凭据。

Edge浏览器不提供任何此类保护措施。从浏览器打开的那一刻起，用户保险库中所有网站的已保存凭据都以明文形式存储在浏览器的进程内存中。这使得任何能够读取该进程内存的攻击者都拥有一个持久且广泛的窃取目标。

这项发现之所以尤其令人费解，是因为Edge浏览器自身的用户界面行为。该浏览器在密码管理器界面显示密码之前仍然会提示用户重新验证身份，然而浏览器进程却已经以明文形式存储了所有这些凭据，任何能够查询进程内存的人都可以完全访问这些凭据。

因此，重新认证门只是提供了访问控制的假象，并不能真正防止基于内存的凭证提取。

在共享或多用户环境（例如远程桌面服务 (RDS)或终端服务器）中，严重性会显著增加。

拥有此类系统管理员权限的攻击者可以同时读取所有已登录用户进程的内存。

在随披露内容发布的验证视频中，一个被入侵的管理员帐户通过读取另外两个已登录用户的 Edge 浏览器进程内存，成功地从这两个用户（包括会话已断开但仍处于活动状态的用户）中提取了存储的凭据。

这使得单个管理员级别的入侵转变为在整个多用户环境中获取完整的凭据，直接对应于 MITRE ATT&CK T1555.003 — 从 Web 浏览器获取凭据。

以明文形式显示 Microsoft Edge 密码

当研究人员负责任地向微软披露了这一发现时，该公司的官方回应是，这种行为是“有意为之”。

微软现有的公开文档承认，在本地攻击条件下可以访问浏览器内存中的凭据，并将此类情况归类为超出浏览器威胁模型范围的情况。

4月29日，BigBiteOfTech网站披露了一个小型教育验证工具，任何用户都可以使用该工具确认其Edge浏览器是否在进程内存中存储明文凭据。该工具的发布旨在提高公众意识，并鼓励对这种行为进行独立验证。

对于在 Windows 环境中部署 Edge 浏览器的安全团队，尤其是那些在终端服务器、VDI 环境或任何共享访问系统中运行 Edge 浏览器的团队，更应将此视为高优先级的配置风险，并考虑迁移到具有按需解密和应用绑定加密功能的浏览器，直到微软解决该设计问题。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Microsoft Edge 在启动时将所有已保存的密码以明文形式存储在进程内存中》