Norský výzkumník přišel na to, že prohlížeč Microsoftu při spuštění dešifruje všechna uložená hesla a ponechává je přístupná v paměti RAM.
Expert na kybernetickou bezpečnost odhalil znepokojivé chování prohlížeče Microsoft Edge, které zpochybňuje způsob, jakým prohlížeč nakládá s přihlašovacími údaji svých uživatelů. Tom Jøran Sønstebyseter Rønning, specialista na ofenzivní testování v norské firmě Statnett SF, prokázal, že prohlížeč Edge ukládá hesla v otevřeném textu přímo do paměti RAM, tj. volatilní paměti počítače, kam programy za běhu dočasně ukládají data. Zjištění nevyžaduje nutně mimořádné schopnosti ke zneužití, což vytváří hmatatelné riziko pro každého, kdo svěřuje svá hesla prohlížeči společnosti založené Billem Gatesem.
Demonstrace, která odhalila Edge
Rønning prezentoval svá zjištění na konferenci 29. dubna a o několik dní později, 4. května, sdílel na GitHubu jak demonstrační video, tak nástroj nazvaný „EdgeSavedPasswordsDumper“, který umožňuje experiment zopakovat. To, co výzkumník zjistil, je objevné: při každém spuštění Edge automaticky dešifruje všechna uložená pověření a uchovává je v paměti procesu. Děje se tak i v případě, že uživatel nenavštěvuje žádnou webovou stránku, která vyžaduje ověření, čímž se zbytečně zvyšuje riziko odhalení.
Kdokoli, kdo má přístup do paměti procesů prohlížeče, může pomocí nástroje podobného tomu, který vyvinul Rønning, přečíst všechna uživatelská jména a hesla bez jakéhokoli šifrování. I když bezpečnostní experti uznávají, že zneužití této slabiny není vyloženě snadné, nebezpečí výrazně vzrůstá v prostředí, kde jsou počítače sdílené nebo kde útočník již získal určitou úroveň přístupu do systému.
Ostatní prohlížeče Chromium stejný problém nemají
Norský výzkumník se nespokojil s pouhým okomentováním této situace. Poté, co tuto slabinu zdokumentoval, zopakoval své testy s dalšími prohlížeči, které jsou rovněž založeny na Chromiu, open source enginu, na němž je postaveno mnoho moderních prohlížečů. Stejné analýze podrobil Chrome, Vivaldi, Brave a Operu. Žádný z nich nezopakoval chování zjištěné v prohlížeči Edge, což naznačuje, že se jedná o specifické návrhové rozhodnutí Microsoftu, nikoli o omezení vlastní platformě Chromium.
Microsoft bagatelizuje riziko a přenáší odpovědnost na uživatele
Reakce společnosti Microsoft na tyto důkazy vyvolala značnou kontroverzi. Středisko společnosti pro reakci na zabezpečení, známé jako MSRC, klasifikovalo toto zjištění jako „očekávanou vlastnost aplikace“ a argumentovalo tím, že přístup do paměti prohlížeče by vyžadoval předchozí kompromitaci zařízení. Kromě toho bezpečnostní pracovníci společnosti prozradili, že již zamítli předchozí zprávu o stejném problému, podanou v září 2025, protože se domnívali, že nepřekračuje žádné stanovené bezpečnostní hranice.
Jako jediné doporučení společnost pouze doporučila, aby si uživatelé nainstalovali antivirový software. Je sice pravda, že okolnosti nutné k účinné krádeži pověření jsou výjimečné, bezpečnostní analytici však upozorňují, že není vždy snadné odhalit, kdy byl operační systém napaden. Skutečnost, že Microsoft si byl tohoto chování vědom již ve fázi návrhu a rozhodl se jej nezměnit, ztěžuje zdůvodnění situace před stále náročnější bezpečnostní komunitou.