Um pesquisador de segurança divulgou em 29 de abril de 2026 que o Microsoft Edge descriptografa todas as senhas armazenadas na memória do processo após a inicialização e as mantém em texto não criptografado durante toda a sessão, independentemente da atividade do usuário. Esta descoberta, apresentada na BigBiteOfTech, levanta preocupações significativas sobre o tratamento de credenciais em ambientes Windows compartilhados. O pesquisador, conhecido como @L1v1ng0ffTh3L4N, conduziu uma análise sistemática dos principais navegadores baseados em Chromium, revelando que o Edge era o único navegador que mantinha todo o cofre de senhas na memória de texto simples na inicialização, de acordo com o Cyber Security News.
A divulgação incluiu uma ferramenta de verificação pública que permite aos usuários verificar se seu navegador Edge possui credenciais de texto não criptografado. Em 4 de maio, o pesquisador Tom Joran Sonstebyseter Ronning postou um vídeo de demonstração das descobertas, que gerou 5.900 respostas logo depois. A Microsoft respondeu à divulgação, afirmando que esse comportamento é “intencional”.
O tratamento de senhas do Edge diverge bastante das práticas do Google Chrome. O Cyber Security News destacou que o Chrome emprega descriptografia sob demanda, desbloqueando credenciais apenas quando necessário, e utiliza criptografia vinculada ao aplicativo, que vincula chaves de descriptografia a um processo autenticado. Por outro lado, o Edge carrega todas as credenciais salvas em texto simples desde o momento em que é iniciado, expondo-as a possíveis ataques de extração baseados em memória.
Apesar de solicitar aos usuários uma nova autenticação antes de revelar as senhas, as mesmas credenciais estão acessíveis na memória, tornando tais solicitações ineficazes contra ataques baseados em memória. Angus Holliday, especialista sênior em operações de segurança, esclareceu que o App-Bound Encryption da Microsoft protege os dados em repouso, mas não protege a memória. A documentação da política da Microsoft, atualizada em 27 de janeiro de 2026, afirma que desabilitar a criptografia vinculada ao aplicativo pode permitir que aplicativos não autorizados acessem chaves de criptografia.
Esta vulnerabilidade é pronunciada em ambientes compartilhados ou multiusuários. Um invasor com privilégios administrativos pode ler a memória de todos os processos de usuários conectados, levando à exposição potencial de credenciais de vários usuários. Um vídeo público de prova de conceito demonstrou uma conta de administrador extraindo com sucesso credenciais armazenadas de outros usuários acessando a memória do processo Edge.
A Microsoft reconhece que a sua documentação pública relativa ao gestor de palavras-passe do Edge reconhece a vulnerabilidade das credenciais na memória, mas categoriza tais ataques como fora do modelo de ameaça do navegador. A documentação alerta que ataques locais ou malware podem acessar o armazenamento descriptografado do navegador, levantando preocupações sobre os riscos inerentes ao design do Edge, especialmente para organizações que padronizam seu uso.
Mike Pedrick, diretor de segurança da informação, observou que algumas organizações determinam o Edge como o único navegador permitido, priorizando a padronização em vez da segurança. A Cyber Security News aconselhou que as equipes de segurança que operam ambientes Windows com Edge deveriam considerar a migração para navegadores com melhores práticas de segurança até que a Microsoft modifique esse problema de design.
No mercado global de navegadores, o Edge detinha uma participação de 7,018% no primeiro trimestre de 2025, ficando em terceiro lugar, atrás do Chrome e do Safari. No entanto, a sua quota de mercado é significativamente maior em ambientes empresariais, onde o Edge é frequentemente o navegador padrão em dispositivos Windows geridos, levantando preocupações sobre o tratamento de dados, especialmente nos setores de marketing e publicidade.
