微軟修改Edge瀏覽器密碼管理機制,避免開機即載入明文密碼

來源: iThome | 2026-05-20
URL: https://www.ithome.com.tw/news/175961
Blog ID: 471

核心變更

微軟宣布修改 Microsoft Edge 密碼管理機制

  • 舊行為: 瀏覽器啟動時,將所有已儲存密碼以明文(cleartext)載入記憶體
  • 新行為: 僅在用戶需要時才解密與載入特定密碼(與多數 Chromium 架構瀏覽器一致)

背景

  • 由資安研究人員 Tom Jøran Sønstebyseter Rønning 揭露此問題
  • 微軟原立場:舊設計屬既有威脅模型的一部分,攻擊者需先取得裝置控制權才能存取記憶體,不額外增加風險
  • 最終仍決定修改,作為**縱深防禦(defense-in-depth)**策略的一環

推出時程

階段狀態
Edge Canary 測試版已可使用
Edge 148 正式版預計推送全部用戶

重點摘要

攻擊者必須先取得用戶裝置控制權才能存取記憶體內容

儘管微軟認為風險有限,此次修改仍提升了密碼在記憶體中的保護層級,減少明文密碼暴露的時間窗口。

衍生頁面