Um pesquisador de segurança revelou que o Microsoft Edge descriptografa todas as senhas armazenadas na memória do processo ao iniciar o navegador, mantendo-as em texto não criptografado durante toda a sessão, independentemente de os usuários visitarem os sites associados. O pesquisador, conhecido como @L1v1ng0ffTh3L4N, apresentou a descoberta na BigBiteOfTech e confirmou por meio de testes que o Edge é o único entre os principais navegadores baseados em Chromium para esse comportamento.
Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them. pic.twitter.com/ci0ZLEYFLB
— Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) May 4, 2026
No evento, apresentado pela PaloAltoNtwks Noruega, o pesquisador também apresentou uma ferramenta de verificação pública que permite aos usuários verificar credenciais de texto não criptografado na memória de processo do Edge. Em seguida, um vídeo de demonstração foi ao ar em 4 de maio de 2026, acumulando quase 6.000 respostas nas plataformas de mídia social.
A resposta da Microsoft indicou que o comportamento de manuseio é “intencional”. O contraste com o Google Chrome é gritante; O Chrome descriptografa as credenciais somente quando necessário, usando a descriptografia sob demanda e a criptografia vinculada ao aplicativo, que vincula as chaves de descriptografia a um processo de navegador autenticado para impedir o acesso não autorizado.
O Edge não possui essas proteções, o que significa que cada credencial salva se torna vulnerável, pois permanece exposta em texto simples desde o lançamento. Notavelmente, o navegador solicita aos usuários uma nova autenticação antes de revelar as senhas, mas todas as credenciais ainda estão visíveis na memória, minando a eficácia desta medida de segurança.
Angus Holliday, especialista sênior em operações de segurança, destacou que a política de criptografia vinculada a aplicativos não protege os dados na memória, apenas as chaves de criptografia para dados armazenados localmente. A documentação da Microsoft reconhece que os ataques locais e as vulnerabilidades de malware estão fora do modelo de ameaça do navegador.
Ambientes compartilhados ou multiusuários estão particularmente em risco, onde os privilégios administrativos permitem que um invasor acesse a memória de todos os usuários logados. Uma prova de conceito demonstrou como uma conta de administrador poderia extrair credenciais armazenadas da memória do processo Edge de outros usuários, levantando preocupações significativas de segurança organizacional.
Muitos profissionais do setor criticaram a abordagem da Microsoft em plataformas como o LinkedIn, defendendo medidas de proteção mais fortes contra ataques locais. A documentação existente indica que o Microsoft Edge não pode proteger contra ameaças que comprometem todo o dispositivo.
As organizações que usam exclusivamente o Edge enfrentam maiores riscos de configuração devido a essa escolha de design intencional, em vez de uma falha corrigível. Essas preocupações são ampliadas para empresas envolvidas com implantações de servidores de terminal, VDI e sistemas de acesso compartilhado.
