-
作者
-
發佈日期
2026-05-06
-
閱讀時間
5分鐘
-
字體大小
Palo Alto Networks Norway 資安研究員 @L1v1ng0ffTh3L4N 在早前舉行的 BigBiteOfTech 資訊安全大會中披露,Microsoft Edge 啟動後會即時解密用戶密碼管理器內所有帳號密碼,資料更以明文(cleartext)形式存放於記憶體,即使用戶從未開啟相關網站,密碼亦會持續留存。Microsoft 回應指此行為屬預設設計(by design),拒絕視作漏洞修復。
問題根源
資安研究員測試各款主流 Chromium 核心瀏覽器後,發現 Microsoft Edge 是唯一出現這種行為的瀏覽。相比之下 Google Chrome 採用按需解密(on-demand decryption)機制,僅在用戶查看密碼或觸發自動填表時,才將憑證以明文載入記憶體,並配合 App-Bound Encryption 技術防止其他程式存取。Firefox 則要求用戶設定主密碼(Primary Password)才可解密憑證,確保明文不會在未經授權下出現。
更諷刺的是 Microsoft Edge 介面顯示密碼前雖要求驗證身份,但程式本身早已將所有密碼存於記憶體,令驗證關卡形同虛設,無法阻止讀取記憶體的攻擊者。
多用戶環境風險最高
此問題於 Remote Desktop Services(RDS)或企業伺服器等共用環境風險尤為嚴峻。攻擊者取得管理員權限後,可同時讀取所有已登入用戶的 Edge 記憶體,一次過獲取多個帳號密碼。@L1v1ng0ffTh3L4N 發布的概念驗證影片顯示,研究員利用已入侵的管理員帳號,成功從兩名用戶的 Edge 記憶體提取憑證。此手法對應 MITRE ATT&CK T1555.003(從瀏覽器提取憑證)。
Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them. pic.twitter.com/ci0ZLEYFLB
— Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) May 4, 2026
Microsoft 的「劇場式安全」
Microsoft 至今維持預設設計立場,指瀏覽器記憶體遭本機攻擊不屬 Edge 安全威脅模型範疇。Microsoft 雖宣佈 2026 年 6 月 4 日前強制用戶改用 Windows Hello(生物特徵或 PIN)查看密碼,但改動僅保護介面,記憶體明文問題依舊。Microsoft 早前已取消 Edge 自訂主密碼功能,並將內置密碼管理器定位為推薦選項,令問題更值得關注。
用戶應對建議
用戶應考慮停止使用 Edge 內置密碼管理器儲存敏感帳號密碼,改用獨立工具如 Bitwarden 或 1Password 等。企業用戶需評估終端伺服器及 VDI 環境的 Edge 使用風險。如有需要,可利用 @L1v1ng0ffTh3L4N 發布的工具自行確認記憶體是否存有明文密碼。
資料來源:Cyber Security News