微软回应 Edge 浏览器将保存的密码存入内存：属于“预期设计”

微软 Microsoft Edge 浏览器被曝出在启动时会将用户保存的凭证以明文形式直接加载至系统内存，且未在使用时进行即时清理。针对该机制，微软官方回应称此为“预期设计”。

机制与原理解析

安全研究员 Tom Jøran Sønstebyseter Rønning 近日在社交平台披露了相关发现，并开源了一款名为 EdgeSavedPasswordsDumper 的概念验证工具。该程序通过读取浏览器进程内存，验证了 Edge 的父进程会在启动阶段保存所有已解密的用户名与密码。与 Google Chrome 和 Brave 等 Chromium 系浏览器按需解密不同，Edge 目前采取的是常驻内存策略。

安全影响与使用场景

该机制本身不属于远程漏洞，但在特定场景下存在数据暴露风险。研究指出，若攻击者通过其他途径获取了系统的高级管理权限，便可能利用内存分析工具提取这些明文凭证。对于企业共享环境或多用户计算机而言，权限管控失当可能导致多个活跃会话的凭据同时面临安全风险。

厂商回应与现状

面对该安全研究人员的披露，微软内部并未提供额外的修复方案、配置开关或缓解策略，仅将当前行为归类为设计层面的既定策略。由于缺乏自动清理或按需解密机制，用户在使用该浏览器长期保存敏感账号时，仍需注意操作终端的系统访问权限与物理安全风险。

via Neowin