文章总结： 安全研究人员发现微软Edge浏览器启动时会将所有保存的密码以明文形式加载到进程内存中且持续驻留，而Chrome采用按需解密机制。这使具备内存读取权限的攻击者可窃取全部凭证，在多用户环境中风险尤甚。微软回应称此行为符合设计，建议高风险环境迁移至具备应用绑定加密的浏览器。 综合评分： 85 文章分类： 漏洞分析,应用安全,网络安全,数据安全,威胁情报

微软Edge启动时明文存储所有密码，内存攻击可全盘窃取

FreeBuf

2026年5月7日 18:04 上海

在小说阅读器读本章

去阅读

#

一位安全研究人员发现，微软Edge浏览器在启动瞬间会将所有已保存的密码解密并加载至进程内存，且以明文形式持续驻留——无论用户是否访问过相关网站。这项发现由PaloAltoNtwks Norway的研究员 @L1v1ng0ffTh3L4N 于4月29日在BigBiteOfTech上披露，源于其对主流Chromium浏览器凭证内存处理机制的系统性测试。

#

Part01

对比分析

Edge是唯一存在该行为的浏览器。它启动时会将整个密码库以明文形式加载至进程内存，并在整个会话期间保留。这与谷歌Chrome形成鲜明对比：

• Chrome采用按需解密机制，仅在自动填充或用户显式查看密码时才会解密凭证。
• Chrome通过应用绑定加密（App-Bound Encryption）技术，将解密密钥与经过身份验证的Chrome进程进行密码学绑定，防止其他进程复用该密钥访问凭证。

Part02

安全风险

Edge缺乏上述保护机制。从浏览器启动起，密码库中所有站点的凭证都以明文形式存在于进程内存中，这为能够读取进程内存的攻击者提供了持续、广泛的凭证提取目标。更矛盾的是：

• Edge在密码管理器界面仍然会要求用户重新认证才能显示密码。
• 但浏览器进程早已以明文形式持有全部凭证，任何能够查询进程内存的人均可获取。

这种重新认证机制仅营造了访问控制的假象，对基于内存的凭证提取毫无防护作用。在远程桌面服务（RDS）或终端服务器等多用户环境中，风险尤为严重——具备管理员权限的攻击者可同时读取所有登录用户进程的内存。

Part03

概念验证

随披露发布的概念验证视频显示，攻击者通过一个受控的管理员账户，成功从其他两名登录用户（包括会话已断开但进程仍活跃的用户）的Edge浏览器进程内存中提取出了存储的凭证。这使得单次管理员账户沦陷，演变为整个多用户环境的凭证全面泄露，直接对应MITRE ATT&CK攻击框架中的T1555.003技术（从Web浏览器获取凭证）。

Part04

厂商回应与应对建议

微软在接到漏洞披露后回应称，该行为“符合设计”。其公开文档承认，浏览器内存中的凭证在本地攻击场景下可能被读取，但将此类场景划归为“超出浏览器威胁模型”。

BigBiteOfTech同期发布了一款小型验证工具，供用户确认Edge是否存在明文凭证内存驻留现象。安全团队应特别注意：

部署了Edge的Windows终端服务器、虚拟桌面（VDI）等共享访问系统，需将此问题视为高优先级配置风险。

建议迁移至具备按需解密和应用绑定加密机制的浏览器，直至微软修正该项设计。

参考来源：

Microsoft Edge Stores All Saved Passwords in Cleartext Process Memory at Launch

Microsoft Edge Stores All Saved Passwords in Cleartext Process Memory at Launch

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《微软Edge启动时明文存储所有密码，内存攻击可全盘窃取》