Microsoft Edge zal wachtwoorden bij het opstarten van de browser niet meer in het geheugen laden, zo heeft Microsoft zelf aangekondigd. Onlangs meldde de Noorse beveiligingsonderzoeker Tom Jøran Sønstebyseter Rønning dat Edge wachtwoorden onversleuteld in het geheugen van het systeem bewaart, ook als ze niet in gebruik zijn. Alle in Edge opgeslagen wachtwoorden worden automatisch tijdens het opstarten van de browser ontsleuteld in het procesgeheugen opgeslagen.

"Dit gebeurt zelfs als je nooit een site bezoekt die van die inloggegevens gebruikmaakt", aldus de onderzoeker in een bericht op X begin deze maand. Gebruikers moeten zich authenticeren om de wachtwoorden in de wachtwoordmanager van de browser te bekijken. "Terwijl het browserproces ze al in plaintext heeft", voegde de onderzoeker toe. Rønning stelt dat andere op Chromium-gebaseerde browsers, zoals Google Chrome, dit gedrag niet te vertonen. De onderzoeker rapporteerde het probleem aan Microsoft, maar het techbedrijf liet weten dat dit gedrag "by design" is.

Microsoft is hier nu op teruggekomen, zo laat het in een blogposting weten. "Gebaseerd op onze bestaande criteria valt dit gedrag binnen het verwachte dreigingsmodel, aangezien het risico begint zodra een aanvaller het systeem al heeft gecompromitteerd. Tegelijkertijd denken we dat er ruimte voor verbetering is", aldus Microsofts Gareth Evans. Microsoft Edge zal daarom tijdens het opstarten wachtwoorden niet meer standaard in het geheugen laden. Volgens Evans gaat het om een 'defense-in-depth' aanpassing die met Edge 148 en nieuwer wordt doorgevoerd. Rønning stelt in een reactie op X dat hij niet had gedacht dat Microsoft de aanpassing zou doorvoeren.