微軟修改Edge瀏覽器密碼管理機制,避免開機即載入明文密碼
來源: iThome | 2026-05-20
URL: https://www.ithome.com.tw/news/175961
Blog ID: 471
核心變更
微軟宣布修改 Microsoft Edge 密碼管理機制:
- 舊行為: 瀏覽器啟動時,將所有已儲存密碼以明文(cleartext)載入記憶體
- 新行為: 僅在用戶需要時才解密與載入特定密碼(與多數 Chromium 架構瀏覽器一致)
背景
- 由資安研究人員 Tom Jøran Sønstebyseter Rønning 揭露此問題
- 微軟原立場:舊設計屬既有威脅模型的一部分,攻擊者需先取得裝置控制權才能存取記憶體,不額外增加風險
- 最終仍決定修改,作為**縱深防禦(defense-in-depth)**策略的一環
推出時程
| 階段 | 狀態 |
|---|---|
| Edge Canary 測試版 | 已可使用 |
| Edge 148 正式版 | 預計推送全部用戶 |
重點摘要
攻擊者必須先取得用戶裝置控制權才能存取記憶體內容
儘管微軟認為風險有限,此次修改仍提升了密碼在記憶體中的保護層級,減少明文密碼暴露的時間窗口。
衍生頁面
- 微軟Edge密碼管理機制改版避免明文密碼載入記憶體 — 核心安全改進事件
- microsoft-edge — 產品頁面