Microsoft Edge: Τέλος στους κωδικούς σε μορφή cleartext στη μνήμη

Τι ακριβώς συνέβαινε

Ο ερευνητής ασφαλείας αποκάλυψε στις 29 Απριλίου 2026 ότι το Microsoft Edge αποκρυπτογραφεί κάθε αποθηκευμένο κωδικό στη μνήμη της διεργασίας τη στιγμή που εκκινεί ο browser — και τους διατηρεί εκεί ως cleartext για ολόκληρη τη συνεδρία, ανεξάρτητα από το αν ο χρήστης επισκεφτεί ποτέ τους ιστότοπους στους οποίους ανήκουν τα διαπιστευτήρια.

Ο ερευνητής δοκίμασε αυτή τη συμπεριφορά σε πολλά Chromium-based προγράμματα περιήγησης, συμπεριλαμβανομένων των Google Chrome, Brave, Vivaldi, Opera και Microsoft Edge. Μόνο το Edge εμφάνισε αυτή τη συμπεριφορά. Παρουσίασε τα ευρήματά του στο συνέδριο BigBiteOfTech στις 29 Απριλίου, μαζί με την Palo Alto Networks Norway, και στη συνέχεια ανάρτησε βίντεο απόδειξης της επίθεσης στις 4 Μαΐου που συγκέντρωσε 5.900 απαντήσεις μέσα σε λίγες ώρες.

Από τη στιγμή που ανοίγει ο browser, κάθε αποθηκευμένο διαπιστευτήριο για κάθε ιστότοπο στο θησαυροφυλάκιο του χρήστη βρίσκεται σε μορφή cleartext στη μνήμη της διεργασίας. Αυτό δημιουργεί έναν συνεχή, μεγάλης επιφάνειας στόχο εξαγωγής για οποιονδήποτε εισβολέα που μπορεί να διαβάσει τη μνήμη αυτής της διεργασίας.

Η παράδοξη ψευδαίσθηση ασφάλειας

Ιδιαίτερα αντιφατικό είναι το εξής: το Edge ζητά από τον χρήστη επαναπιστοποίηση πριν εμφανίσει κωδικούς στη διεπαφή του Password Manager, ενώ η διεργασία του browser ήδη διατηρεί όλα τα διαπιστευτήρια σε cleartext, πλήρως προσβάσιμα σε οποιονδήποτε μπορεί να ερωτήσει τη μνήμη της διεργασίας. Η πύλη επαναπιστοποίησης παρέχει επομένως μόνο την ψευδαίσθηση ελέγχου πρόσβασης.

Σε αναπαραγωγή του ευρήματος από το Heise Online, ένα dump μνήμης του browser κατέλαβε περίπου 670 MB στον δίσκο. Μέσα σε αυτό, μια απλή αναζήτηση με hex editor βρήκε τον κωδικό ολόκληρο σε cleartext — χωρίς καν να έχει χρησιμοποιηθεί ο κωδικός κατά τη διάρκεια της συνεδρίας.

Σύγκριση με Chrome και άλλους browsers

Το Chrome, για παράδειγμα, αποκρυπτογραφεί έναν κωδικό μόνο όταν χρειαστεί και χρησιμοποιεί επιπλέον την τεχνολογία Application-Bound Encryption (ABE) ως πρόσθετη άμυνα κατά της κλοπής πληροφοριών, η οποία δεσμεύει τα κλειδιά σε μια πιστοποιημένη διεργασία του Chrome που εκτελείται ως SYSTEM.

Τα infostealers που στοχεύουν αποθηκευμένους κωδικούς browser χρησιμοποιούν ήδη το DPAPI (Data Protection API) για να τους αντλήσουν κατευθείαν από τον δίσκο. Το Edge προχωρά ένα βήμα παραπέρα: αντί να αφήνει απλώς το κλειδί διαθέσιμο, χρησιμοποιεί αυτό το κλειδί κατά την εκκίνηση για να αποκρυπτογραφήσει κάθε αποθηκευμένο διαπιστευτήριο και στη συνέχεια τοποθετεί όλους τους κωδικούς στη μνήμη της διεργασίας για το υπόλοιπο της συνεδρίας.

Οι ερευνητές ασφαλείας κατατάσσουν αυτού του είδους την ευπάθεια στην κατηγορία CWE-316, «Cleartext Storage of Sensitive Information in Memory» — μια καλά τεκμηριωμένη κατηγορία ευπαθειών που τα περισσότερα σύγχρονα συστήματα διαχείρισης διαπιστευτηρίων είναι ειδικά σχεδιασμένα να αποφεύγουν.

Ιδιαίτερος κίνδυνος σε επιχειρησιακά περιβάλλοντα

Η ευπάθεια επηρεάζει το Microsoft Edge σε Windows. Τα terminal servers, τα περιβάλλοντα Remote Desktop Services, τα VDI deployments και οποιοδήποτε σύστημα κοινής πρόσβασης σε Windows χαρακτηρίζονται ως οι υψηλότερου κινδύνου διαμορφώσεις.

Ένας εισβολέας μπορεί να χρησιμοποιήσει τα διαπιστευτήρια που κλέβει από τον browser για πλευρική κίνηση εντός δικτύου, πλαστοπροσωπία χρηστών, κλοπή προσωπικών δεδομένων ή οικονομικών πόρων, ακόμα και επιθέσεις ransomware.

Η αποκάλυψη αυτή έρχεται σε μια περίοδο τεκμηριωμένης έξαρσης του infostealer malware. Σύμφωνα με το Global Threat Intelligence Index της Flashpoint, η κλοπή διαπιστευτηρίων μέσω infostealers αυξήθηκε κατά 800% στο πρώτο εξάμηνο του 2025, με 1,8 δισεκατομμύρια κωδικούς κλεμμένους από 5,8 εκατομμύρια συσκευές.

Η αρχική θέση της Microsoft και η αλλαγή πλεύσης

Ο ερευνητής δήλωσε ότι ανέφερε το ζήτημα στη Microsoft και η επίσημη απάντηση ήταν ότι η συμπεριφορά είναι «by design» — και ότι η Microsoft ενημερώθηκε ότι θα μοιραζόταν τα ευρήματα ως responsible disclosure ώστε χρήστες και οργανισμοί να μπορούν να λάβουν τεκμηριωμένες αποφάσεις.

Εκπρόσωπος της Microsoft δήλωσε: «Η ασφάλεια αποτελεί θεμέλιο του Microsoft Edge. Η πρόσβαση σε δεδομένα browser όπως περιγράφεται στο αναφερόμενο σενάριο θα απαιτούσε η συσκευή να έχει ήδη παραβιαστεί. Οι σχεδιαστικές επιλογές σε αυτόν τον τομέα περιλαμβάνουν ισορρόπηση επιδόσεων, ευχρηστίας και ασφάλειας, και συνεχίζουμε να τις αξιολογούμε απέναντι στις εξελισσόμενες απειλές.»

Ωστόσο, σύμφωνα με την αναφορά του BleepingComputer που πυροδότησε την παρούσα είδηση, η Microsoft ανακοίνωσε ότι θα αλλάξει αυτή τη συμπεριφορά στις επόμενες εκδόσεις του Edge, σταματώντας τη φόρτωση κωδικών σε cleartext κατά την εκκίνηση.

Τι μπορείτε να κάνετε τώρα

Η συμβουλή για οργανισμούς είναι να μειώσουν την εξάρτηση από τον browser ως αποθήκη διαπιστευτηρίων σε επιχειρησιακά πλαίσια. Αντ' αυτού, θα πρέπει να χρησιμοποιούν αφιερωμένες, διαχειριζόμενες λύσεις κωδικών πρόσβασης με ισχυρότερους ελέγχους πρόσβασης, να περιορίζουν τοπικά και διαχειριστικά δικαιώματα και να παρακολουθούν τα τερματικά, ειδικά για συμπεριφορές όπως το memory scraping.

Για εταιρείες που διαχειρίζονται το Edge σε στόλο Windows συσκευών, η Πολιτική Ομάδας (Group Policy) παρέχει άμεση δυνατότητα επιβολής: μεταβείτε στο User Configuration → Policies → Administrative Templates → Microsoft Edge → Password manager and protection και απενεργοποιήστε την πολιτική «Enable saving passwords to the password manager». Αυτό αποτρέπει την αποθήκευση νέων κωδικών, ενώ τα ήδη αποθηκευμένα διαπιστευτήρια παραμένουν έως ότου διαγραφούν χειροκίνητα.

Πηγές

• BleepingComputer – Microsoft Edge to stop loading cleartext passwords in memory on startup
• Dark Reading – Microsoft Edge Stores Passwords in Process Memory, Posing Risk
• Windows Central – Microsoft Edge will load all your passwords into memory in plaintext
• Heise Online – Microsoft Edge: Passwords end up in memory as plaintext
• PPC.land – Microsoft Edge keeps every saved password in cleartext memory at launch