Un ricercatore di sicurezza ha rivelato che Microsoft Edge decodifica ogni password memorizzata nella memoria del processo all’avvio del browser, conservandola in testo non crittografato per l’intera sessione, indipendentemente dal fatto che gli utenti visitino o meno i siti associati. Il ricercatore, noto come @L1v1ng0ffTh3L4N, ha presentato la scoperta a BigBiteOfTech e ha confermato attraverso i test che Edge è unico tra i principali browser basati su Chromium per questo comportamento.
Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them. pic.twitter.com/ci0ZLEYFLB
— Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) May 4, 2026
All’evento, presentato da PaloAltoNtwks Norvegia, il ricercatore ha anche presentato uno strumento di verifica pubblica che consente agli utenti di verificare la presenza di credenziali in chiaro nella memoria del processo di Edge. Successivamente, il 4 maggio 2026 è andata in onda una dimostrazione video, che ha raccolto quasi 6.000 risposte sulle piattaforme di social media.
La risposta di Microsoft ha indicato che il comportamento di gestione è “in base alla progettazione”. Il contrasto con Google Chrome è netto; Chrome decrittografa le credenziali solo quando necessario utilizzando la decrittografia su richiesta e la crittografia associata all’app, che lega le chiavi di decrittografia a un processo del browser autenticato per impedire l’accesso non autorizzato.
Edge non dispone di queste protezioni, il che significa che ogni credenziale salvata diventa vulnerabile poiché rimane esposta in testo normale sin dal lancio. In particolare, il browser richiede agli utenti di autenticarsi nuovamente prima di rivelare le password, ma tutte le credenziali sono ancora visibili in memoria, minando l’efficacia di questa misura di sicurezza.
Angus Holliday, uno specialista senior delle operazioni di sicurezza, ha sottolineato che la policy di crittografia associata all’app non protegge i dati in memoria, ma solo le chiavi di crittografia per i dati archiviati localmente. La documentazione di Microsoft riconosce che gli attacchi locali e le vulnerabilità del malware non rientrano nel modello di minaccia del browser.
Particolarmente a rischio sono gli ambienti condivisi o multiutente, in cui i privilegi amministrativi consentono a un utente malintenzionato di accedere alla memoria di tutti gli utenti registrati. Una prova di concetto ha dimostrato come un account amministratore possa estrarre le credenziali archiviate dalla memoria del processo Edge di altri utenti, sollevando notevoli problemi di sicurezza organizzativa.
Molti professionisti del settore hanno criticato l’approccio di Microsoft su piattaforme come LinkedIn, sostenendo misure di protezione più forti contro gli attacchi locali. La documentazione esistente indica che Microsoft Edge non può proteggersi dalle minacce che compromettono l’intero dispositivo.
Le organizzazioni che utilizzano esclusivamente Edge devono affrontare maggiori rischi di configurazione a causa di questa scelta di progettazione intenzionale piuttosto che di un difetto risolvibile. Queste preoccupazioni sono amplificate per le aziende coinvolte nell’implementazione di server terminal, VDI e sistemi di accesso condiviso.
