Ein Sicherheitsforscher gab am 29. April 2026 bekannt, dass Microsoft Edge beim Start jedes gespeicherte Passwort im Prozessspeicher entschlüsselt und es für die gesamte Sitzung im Klartext behält, unabhängig von der Benutzeraktivität. Dieses auf der BigBiteOfTech vorgestellte Ergebnis wirft erhebliche Bedenken hinsichtlich der Handhabung von Anmeldeinformationen in gemeinsam genutzten Windows-Umgebungen auf. Laut Cyber Security News führte der Forscher namens @L1v1ng0ffTh3L4N eine systematische Analyse der wichtigsten Chromium-basierten Browser durch und stellte fest, dass Edge der einzige Browser war, der beim Start den gesamten Passwort-Tresor im Klartextspeicher behielt.
Die Offenlegung beinhaltete ein öffentliches Verifizierungstool, mit dem Benutzer überprüfen können, ob ihr Edge-Browser über Klartext-Anmeldeinformationen verfügt. Am 4. Mai veröffentlichte der Forscher Tom Joran Sonstebyseter Ronning eine Videodemonstration der Ergebnisse, die kurz darauf 5.900 Antworten hervorrief. Microsoft antwortete auf die Offenlegung und erklärte, dass dieses Verhalten „absichtlich“ sei.
Der Umgang mit Passwörtern durch Edge weicht stark von den Praktiken von Google Chrome ab. Cyber Security News betonte, dass Chrome eine On-Demand-Entschlüsselung einsetzt, Anmeldeinformationen nur bei Bedarf entsperrt, und App-gebundene Verschlüsselung nutzt, die Entschlüsselungsschlüssel an einen authentifizierten Prozess bindet. Im Gegensatz dazu lädt Edge vom Start an alle gespeicherten Anmeldeinformationen in Klartext und setzt sie so potenziellen speicherbasierten Extraktionsangriffen aus.
Obwohl Benutzer vor der Offenlegung von Passwörtern zur erneuten Authentifizierung aufgefordert werden, sind dieselben Anmeldeinformationen im Speicher verfügbar, sodass solche Aufforderungen gegen speicherbasierte Angriffe unwirksam sind. Angus Holliday, Senior Security Operations Specialist, stellte klar, dass die App-gebundene Verschlüsselung von Microsoft Daten im Ruhezustand schützt, jedoch nicht den Speicher. In der am 27. Januar 2026 aktualisierten Richtliniendokumentation von Microsoft heißt es, dass die Deaktivierung der App-gebundenen Verschlüsselung dazu führen könnte, dass nicht autorisierte Anwendungen auf Verschlüsselungsschlüssel zugreifen.
Diese Sicherheitsanfälligkeit ist in gemeinsam genutzten oder Mehrbenutzerumgebungen ausgeprägt. Ein Angreifer mit Administratorrechten kann den Speicher aller angemeldeten Benutzerprozesse lesen, was möglicherweise zur Offenlegung der Anmeldeinformationen mehrerer Benutzer führt. In einem öffentlichen Proof-of-Concept-Video wurde gezeigt, wie ein Administratorkonto erfolgreich gespeicherte Anmeldeinformationen von anderen Benutzern extrahiert, indem es auf den Edge-Prozessspeicher zugreift.
Microsoft räumt ein, dass in der öffentlichen Dokumentation zum Passwort-Manager von Edge die Schwachstelle von In-Memory-Anmeldeinformationen zwar erkannt wird, solche Angriffe jedoch als außerhalb des Bedrohungsmodells des Browsers liegende Angriffe kategorisiert werden. Die Dokumentation warnt davor, dass lokale Angriffe oder Malware auf den entschlüsselten Browserspeicher zugreifen können, was Bedenken hinsichtlich der inhärenten Risiken des Edge-Designs aufkommen lässt, insbesondere für Organisationen, die seine Verwendung standardisieren.
Mike Pedrick, Chief Information Security Officer, stellte fest, dass einige Organisationen Edge als einzig zulässigen Browser vorschreiben und der Standardisierung Vorrang vor der Sicherheit geben. Cyber Security News hat darauf hingewiesen, dass Sicherheitsteams, die Windows-Umgebungen mit Edge betreiben, die Migration zu Browsern mit besseren Sicherheitspraktiken in Betracht ziehen sollten, bis Microsoft dieses Designproblem ändert.
Im globalen Browsermarkt hielt Edge im ersten Quartal 2025 einen Anteil von 7,018 % und belegte damit den dritten Platz hinter Chrome und Safari. Allerdings ist sein Marktanteil in Unternehmensumgebungen deutlich höher, wo Edge häufig der Standardbrowser auf verwalteten Windows-Geräten ist, was insbesondere im Marketing- und Werbesektor Bedenken hinsichtlich der Datenverarbeitung aufwirft.
