微軟Edge密碼管理機制改版避免明文密碼載入記憶體

微軟修改 Microsoft Edge 密碼管理器行為,從「啟動時全部明文載入」改為「按需解密」,提升縱深防禦保護層級(2026-05-20)。

技術細節

  • 舊行為: 瀏覽器啟動時,所有已儲存密碼以明文(cleartext)載入記憶體
  • 新行為: 僅在用戶實際需要時才解密並載入對應密碼
  • 對齊標準: 與多數 Chromium 架構瀏覽器行為一致

背景與動機

資安研究人員 Tom Jøran Sønstebyseter Rønning 揭露此問題後,微軟起初以「攻擊者需先取得裝置控制權才能存取記憶體」為由,認為舊設計不額外增加風險。最終微軟改變立場,以**縱深防禦(defense-in-depth)**策略為由進行修改。

版本資訊

  • Edge Canary 測試版:已可使用
  • Edge 148 正式版:預計推送全部用戶

影響評估

此變更減少明文密碼在記憶體中的暴露時間窗口,降低記憶體傾印(memory dump)攻擊的有效性。

來源文章

相關頁面