文章总结： 安全研究发现MicrosoftEdge浏览器启动时将所有保存的密码以明文形式存入进程内存并持续驻留，与Chrome按需解密机制形成鲜明对比。该设计使任何能读取进程内存的攻击者（如共享环境中的管理员）可提取全部凭证，微软称此为设计使然。建议高风险环境团队优先考虑迁移至支持按需解密和应用绑定加密的浏览器。 综合评分： 78 文章分类： 漏洞分析,应用安全,终端安全,web安全,安全建设

微软Edge浏览器启动时将所有保存的密码以明文形式存入进程内存

网安百色

2026年5月6日 19:44 广西

在小说阅读器读本章

去阅读

安全研究人员发现，Microsoft Edge在浏览器启动的瞬间便会将所有已保存密码解密至进程内存，并以明文形式持续驻留，无论用户是否访问过相关网站。

该发现由PaloAltoNtwks Norway于4月29日在BigBiteOfTech平台披露，研究员@L1v1ng0ffTh3L4N系统测试了所有主流基于Chromium的浏览器凭证内存处理行为后确认。

Edge是唯一表现出此行为的浏览器，它在启动时即加载全部密码保险库至明文进程内存，并在整个会话期间持续保留。

与Google Chrome的对比尤为鲜明。Chrome采用按需解密机制，即凭证仅在自动填充过程中或用户主动查看已保存密码时才会解密。

Chrome进一步通过应用绑定加密（App-Bound Encryption）强化防护，将解密密钥加密绑定至经过身份验证的Chrome进程，阻止其他进程复用密钥访问凭证。

Edge未提供任何此类保护。从浏览器启动伊始，用户保险库中所有网站的已保存凭证即以明文形式存在于浏览器进程内存中。这为任何能够读取该进程内存的攻击者创造了持续且广泛的凭证提取目标。

使该发现尤为矛盾的是Edge自身的UI行为。浏览器在密码管理器界面显示密码前仍会要求用户重新认证，但浏览器进程早已以明文形式持有所有凭证，任何能查询进程内存的实体均可直接访问。

因此，重新认证验证仅提供了访问控制的假象，对基于内存的凭证提取攻击毫无实际防护作用。

在远程桌面服务（RDS）或终端服务器等共享或多用户环境中，此问题的严重性显著升级。

具备系统管理员权限的攻击者可同时读取所有已登录用户进程的内存。

在披露时发布的概念验证视频中，攻击者通过已沦陷的管理员账户成功从另外两名已登录用户的Edge浏览器进程内存中提取了存储凭证，包括会话已断开但仍处于活跃状态的用户。

这将单次管理员级入侵直接转化为对整个多用户环境的完整凭证收割，与MITRE ATT&CK框架中的T1555.003（从Web浏览器获取凭证）直接对应。

当研究人员向微软进行负责任披露时，该公司的官方回应称此行为属于”设计使然”。

微软现有公开文档承认，在本地攻击条件下浏览器内存中的凭证可能被访问，并将此类场景归类为超出浏览器威胁模型的范畴。

4月29日在BigBiteOfTech发布的披露内容包含一个小型教育性验证工具，允许用户确认其Edge浏览器是否在进程内存中保留明文凭证。该工具旨在提高风险意识并鼓励用户独立验证此行为。

部署了Edge的Windows环境管理团队，尤其是运营终端服务器、VDI环境或任何共享访问系统的团队，应将此视为高优先级配置风险，并考虑迁移至支持按需解密和应用绑定加密的浏览器，直至微软调整此设计决策。

本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理，文章版权归原作者所有，仅供读者学习、参考，禁止用于商业用途。因转载众多，无法找到真正来源，如标错来源，或对于文中所使用的图片、文字、链接中所包含的软件/资料等，如有侵权，请跟我们联系删除，谢谢！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安百色 《微软Edge浏览器启动时将所有保存的密码以明文形式存入进程内存》