Исследователь безопасности Том Йоран сообщил, что Microsoft Edge хранит все сохранённые пароли в чистом виде — прямо в оперативной памяти компьютера, даже когда они не используются.
Он наглядно показал, что Edge расшифровывает пароли при запуске браузера и сохраняет их в памяти процесса, откуда они могут быть прочитаны без авторизации паролем или через Windows Hello, несмотря на то, что при попытке зайти в менеджер паролей запрашивается авторизация.
Йоран заявил, что из всех проверенных им Chromium-браузеров такое поведение демонстрирует только Edge — тот же Chrome использует ABE-шифрование и не хранит пароли в памяти.
Такое поведение Edge делает пароли легко доступной для злоумышленника целью — Йоран показал на видео, как компрометация аккаунта администратора Windows позволяет просматривать все пароли других пользователей ПК. Он также сообщил, что обратился с этой проблемой в Microsoft, где ему ответили, что это является нормальным поведением браузера.