Een beveiligingsonderzoeker heeft onthuld dat Microsoft Edge elk opgeslagen wachtwoord bij het starten van de browser in het procesgeheugen decodeert en deze gedurende de hele sessie in leesbare tekst bewaart, ongeacht of gebruikers de bijbehorende sites bezoeken. De onderzoeker, bekend als @L1v1ng0ffTh3L4N, presenteerde de bevinding op BigBiteOfTech en bevestigde door middel van testen dat Edge uniek is onder de grote Chromium-gebaseerde browsers wat betreft dit gedrag.
Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them. pic.twitter.com/ci0ZLEYFLB
— Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) May 4, 2026
Tijdens het evenement, gepresenteerd door PaloAltoNtwks Noorwegen, demonstreerde de onderzoeker ook een openbare verificatietool waarmee gebruikers kunnen controleren op leesgegevens in het procesgeheugen van Edge. Hierna werd op 4 mei 2026 een videodemonstratie uitgezonden, die bijna 6.000 reacties op sociale-mediaplatforms verzamelde.
Het antwoord van Microsoft gaf aan dat het verwerkingsgedrag “door ontwerp” is. Het contrast met Google Chrome is groot; Chrome decodeert inloggegevens alleen wanneer dat nodig is met behulp van on-demand decodering en app-gebonden encryptie, waarbij decoderingssleutels worden gekoppeld aan een geverifieerd browserproces om ongeautoriseerde toegang te voorkomen.
Edge mist deze bescherming, wat betekent dat elke opgeslagen inloggegevens kwetsbaar worden omdat deze vanaf de lancering in platte tekst zichtbaar blijven. Opvallend is dat de browser gebruikers om herauthenticatie vraagt voordat wachtwoorden worden onthuld, maar alle inloggegevens zijn nog steeds zichtbaar in het geheugen, wat de effectiviteit van deze beveiligingsmaatregel ondermijnt.
Angus Holliday, een Senior Security Operations Specialist, wees erop dat het app-gebonden encryptiebeleid de gegevens in het geheugen niet beveiligt, maar alleen de encryptiesleutels voor lokaal opgeslagen gegevens. De documentatie van Microsoft erkent dat lokale aanvallen en kwetsbaarheden in malware buiten het dreigingsmodel van de browser vallen.
Vooral omgevingen met gedeelde of meerdere gebruikers lopen gevaar, waarbij beheerdersrechten een aanvaller in staat stellen toegang te krijgen tot het geheugen van alle ingelogde gebruikers. Een proof-of-concept demonstreerde hoe een beheerdersaccount opgeslagen inloggegevens uit het Edge-procesgeheugen van andere gebruikers kon extraheren, wat aanzienlijke veiligheidsproblemen voor de organisatie met zich meebracht.
Veel professionals uit de industrie bekritiseerden de aanpak van Microsoft op platforms als LinkedIn en pleitten voor sterkere beschermende maatregelen tegen lokale aanvallen. Bestaande documentatie geeft aan dat Microsoft Edge geen bescherming kan bieden tegen bedreigingen die het hele apparaat in gevaar brengen.
Organisaties die uitsluitend Edge gebruiken, lopen te maken met verhoogde configuratierisico’s als gevolg van deze opzettelijke ontwerpkeuze in plaats van een herstelbare fout. Deze zorgen worden nog groter voor bedrijven die betrokken zijn bij de implementatie van terminalservers, VDI en systemen met gedeelde toegang.
