Edge浏览器被曝明文保存密码！微软：这是“设计” 不是漏洞

一位挪威网络安全研究员近日发现，微软Edge浏览器会将用户保存的密码以明文形式存储在内存中。这意味着，只要攻击者能够获得计算机的访问权限(例如通过共享管理员账户)，就有可能窃取所有已保存的密码。

该研究员Tom Jøran Sønstebyseter Rønning表示：“在我测试过的所有基于Chromium的浏览器中，Edge是唯一一个表现出这种行为的产品。”

Rønning在向微软报告这一问题后被告知，该行为属于“设计使然”。他进一步解释，Edge浏览器在启动时会解密所有凭据，无论用户是否会访问使用这些凭据的网站。

不过，要利用这一漏洞并非易事。攻击者需要获得终端服务器的管理员访问权限——这本身已经构成严重的安全入侵。但一旦获得权限，攻击者“就可以访问所有已登录用户进程的内存”。

有观点认为，如果攻击者已经获得了管理员权限，本身就足以对系统造成严重破坏。但现实情况是，许多PC用户默认就拥有其账户的管理员权限。

更关键的是，其他密码管理器或两步验证机制通常需要额外输入密码或验证信息才能访问。而Edge以明文保存密码的行为，正如International Cyber Digest所指出的：“在共享环境下，这变成了凭据收割。”

事实上，这一问题并非首次被发现。去年，研究员@LopezLucio666就曾向微软报告相同问题。微软当时回应称：“经过仔细调查，此案被评估为非漏洞且不涉及安全问题，不符合微软即时服务的标准。”