MS Edge mantém passwords expostas em memória

O browser Edge mantém todas as passwords em formato visível em memória, expostas a processos maliciosos.

Foi descoberta uma falha de segurança na forma como o Microsoft Edge lida com as credenciais guardadas no browser, mantendo-as em memória em formato directamente legível. Apesar do browser utilizar armazenamento encriptado e protecção através do Windows Hello, tudo isso acaba por se tornar irrelevante por as mesmas serem decifradas e ficarem acessíveis na memória assim que o browser é iniciado.

O problema foi destacado por Tom Jøran Sønstebyseter Rønning, que demonstrou como é possível extrair passwords em texto simples através de um dump de memória criado no Windows Task Manager. Num teste simples, uma password guardada no Edge apareceu integralmente num ficheiro de memória, mesmo sem ter sido utilizada após abrir o browser - o Edge "exige" que o utilizador introduza a password antes de dar acesso às passwords guardadas, apesar destas já estarem totalmente visíveis na memória do programa.

Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them. pic.twitter.com/ci0ZLEYFLB

— Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) May 4, 2026

Edge is the only Chromium‑based browser I’ve tested that behaves this way. By contrast, Chrome uses a design that makes it far harder for attackers to extract saved passwords by simply reading process memory.

— Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) May 4, 2026

Isto vai contra as mais básicas práticas de segurança, sendo que as passwords só deveriam ser desencriptadas no momento da utilização e rapidamente eliminadas da memória assim que possível. No caso do Edge, o browser parece carregar as credenciais para memória logo no arranque, mesmo antes de os sites associados serem visitados. Ainda assim, a resposta da Microsoft a este caso é a de que este comportamento "é intencional e faz parte do design actual do Edge". Uma resposta que, obviamente, não está a ser bem recebida na comunidade de segurança.

Ainda por cima, o Edge é o único browser baseado no Chromium que tem este comportamento, o que significa que a MS está intencionalmente a piorar a segurança. Browsers como o Chrome, e outros, mantêm as passwords encriptadas, dificultando a sua extracção, até ao momento em que as mesmas são necessárias para introdução automática nos sites respectivos.