挪威安全研究员 Tom Rønning 披露:Edge 在启动或解锁用户资料时会将已保存的密码登录凭据解密并以明文保留在浏览器进程内存中,他公开了 PoC 代码并上传至 GitHub: https://github.com/L1v1ng0ffTh3L4N/EdgeSavedPasswordsDumper 。
在共享终端、VDI 或被植入恶意程序的设备上的风险显著,需要保持高度关注。
建议临时措施:关闭浏览器的“保存密码”功能、清除已存密码、对关键账户启用多因素认证,并改用独立、受信任的密码管理器或确保终端完整性与系统更新。
高安全措施:立刻卸载 Edge 浏览器,保存数据,立刻更改密码,启用其他高安全的浏览器。
又是 AI 立功么?
设计如此 😅
一般管理员权限才能读内存吧?不过这设计确实离谱
谁家好人用这玩意 🤔
Chrome 的不也是明文储存的么,设计如此
昨天也看报道了,edge 解释说是为了某些操作方便,并不是漏洞。
<!-- 微软明确回应,这一行为是刻意的设计决策,并非程序漏洞。微软称,该设计是为了优化用户登录时的性能体验,属于预期内的功能。 -->用 edge 的且用不 bing 搜索的,试试微软 Rewards 吧,边工作还边赚钱。
最近还行么,自从改版后都没弄过了,或者说没关注过了
我一直用 edge 啊
我一直用 EDGE 但是没保持密码的习惯。
还好不用 edge,但是 chrome 的密码管理器会不会也有这个问题
chrome 也有类似的问题:
如果用 chrome 自带的密码管理保存密码,任何一个运行在你电脑上的程序,不需要管理员权限,都能解密并读取本地保存的密码。因为 chrome 的密码保存在本地加密的 sqlite 中,同时加解密密钥也明文保存在本地文件里,任何程序都能读取。
加密 sqlite 文件路径: C:\Users<PC Name>\AppData\Local\Google\Chrome\User Data\Default\Login Data
解密密钥文件路径 C:\Users<PC Name>\AppData\Local\Google\Chrome\User Data\Local State
edge 不是内置在 windows 了吗 咋卸载 卸载按钮都是灰色的 没启动也经常出现在任务管理器里