- Pesquisador norueguês Tom Jøran Sønstebyseter Rønning mostrou que o Edge descriptografa senhas salvas e as mantém na memória RAM em texto simples, sem depender de acesso a sites com credenciais.
- A Microsoft inicialmente afirmou que esse comportamento era esperado, destacando que o risco existe apenas se o computador já estiver comprometido.
- A reação da empresa provocou mudança de posição: houve reconhecimento de que há espaço para melhoria nesse aspecto.
- A Microsoft informou que o Edge não carrega mais senhas na memória durante a inicialização, mas não explicou os detalhes da implementação.
- A correção já está implementada no Edge 148 (versão atual) em todos os canais (Estável, Beta, Dev e Canary), e a atualização automática é suficiente.
No início do mês, um pesquisador de segurança norueguês revelou que o Edge guarda senhas em texto simples na memória RAM. O material pode permanecer acessível mesmo sem visitar sites protegidos. A Microsoft foi avisada, mas, inicialmente, minimizou a gravidade.
O pesquisador explicou que, ao salvar senhas no Edge, o navegador descriptografa as credenciais na inicialização e as mantém na memória do processo. Não há criptografia ou proteção adicional durante esse tempo, o que aumenta o risco se houver malware ou invasão.
A resposta inicial da Microsoft gerou surpresa; a empresa disse que esse comportamento seria esperado e que os riscos existiriam apenas se o PC já estivesse comprometido. O pesquisador afirmou que a prática é preocupante e não aceitável.
Correção implementada pela Microsoft
A Microsoft mudou de postura e reconheceu a oportunidade de melhoria. A empresa informou que o Edge não fica mais carregando senhas na memória durante a inicialização, sem detalhar o novo procedimento adotado.
A atualização já está disponível no Edge 148, em todos os canais (Estável, Beta, Dev e Canary). Os usuários não precisam tomar ações adicionais para ter a correção aplicada.
Entre na conversa da comunidade