Un ricercatore di sicurezza ha rivelato il 29 aprile 2026 che Microsoft Edge decrittografa tutte le password archiviate nella memoria del processo all’avvio e le conserva in testo non crittografato per l’intera sessione, indipendentemente dall’attività dell’utente. Questa scoperta, presentata a BigBiteOfTech, solleva notevoli preoccupazioni sulla gestione delle credenziali negli ambienti Windows condivisi. Il ricercatore, noto come @L1v1ng0ffTh3L4N, ha condotto un’analisi sistematica dei principali browser basati su Chromium, rivelando che Edge era l’unico browser che conservava l’intero deposito di password nella memoria di testo normale all’avvio, secondo Cyber Security News.
La divulgazione includeva uno strumento di verifica pubblico che consente agli utenti di verificare se il loro browser Edge contiene credenziali in chiaro. Il 4 maggio, il ricercatore Tom Joran Sonstebyseter Ronning ha pubblicato un video dimostrativo dei risultati, che poco dopo ha generato 5.900 risposte. Microsoft ha risposto alla divulgazione, affermando che questo comportamento è “previsto dalla progettazione”.
La gestione delle password di Edge differisce nettamente dalle pratiche di Google Chrome. Cyber Security News ha evidenziato che Chrome utilizza la decrittazione su richiesta, sbloccando le credenziali solo quando necessario, e utilizza la crittografia associata all’app, che lega le chiavi di decrittazione a un processo autenticato. Al contrario, Edge carica tutte le credenziali salvate in testo normale dal momento in cui viene avviato, esponendole a potenziali attacchi di estrazione basati sulla memoria.
Nonostante venga richiesta agli utenti una nuova autenticazione prima di rivelare le password, le stesse credenziali sono accessibili in memoria, rendendo tali richieste inefficaci contro gli attacchi basati sulla memoria. Angus Holliday, specialista senior delle operazioni di sicurezza, ha chiarito che la crittografia associata alle app di Microsoft protegge i dati inattivi ma non salvaguarda la memoria. La documentazione sulle policy di Microsoft, aggiornata il 27 gennaio 2026, afferma che la disabilitazione della crittografia associata all’app potrebbe consentire alle applicazioni non autorizzate di accedere alle chiavi di crittografia.
Questa vulnerabilità è pronunciata in ambienti condivisi o multiutente. Un utente malintenzionato con privilegi amministrativi può leggere la memoria di tutti i processi degli utenti che hanno effettuato l’accesso, portando alla potenziale esposizione delle credenziali da parte di più utenti. Un video dimostrativo pubblico ha dimostrato che un account amministratore è riuscito a estrarre le credenziali archiviate da altri utenti accedendo alla memoria del processo Edge.
Microsoft riconosce che la sua documentazione pubblica relativa al gestore password di Edge riconosce la vulnerabilità delle credenziali in memoria, ma classifica tali attacchi come esterni al modello di minaccia del browser. La documentazione avverte che attacchi locali o malware possono accedere allo spazio di archiviazione del browser decrittografato, sollevando preoccupazioni sui rischi intrinseci della progettazione di Edge, in particolare per le organizzazioni che ne standardizzano l’utilizzo.
Mike Pedrick, Chief Information Security Officer, ha osservato che alcune organizzazioni impongono Edge come unico browser consentito, dando priorità alla standardizzazione rispetto alla sicurezza. Cyber Security News ha informato che i team di sicurezza che gestiscono ambienti Windows con Edge dovrebbero prendere in considerazione la migrazione a browser con migliori pratiche di sicurezza fino a quando Microsoft non modificherà questo problema di progettazione.
Nel mercato globale dei browser, Edge deteneva una quota del 7,018% nel primo trimestre del 2025, classificandosi al terzo posto dietro Chrome e Safari. Tuttavia, la sua quota di mercato è significativamente più elevata negli ambienti aziendali, dove Edge è spesso il browser predefinito sui dispositivi Windows gestiti, sollevando preoccupazioni sulla gestione dei dati in particolare nei settori del marketing e della pubblicità.
