Password in chiaro nella memoria di Edge

Un serio problema di sicurezza, ma per Microsoft è tutto OK.



[ZEUS News - www.zeusnews.it - 07-05-2026]

edge password in chiaro ram
Foto di Vova Kondriianenko.

Microsoft Edge memorizza tutte le password salvate nel browser in chiaro nella RAM durante l'intera sessione, esponendo le credenziali a chiunque disponga di accesso amministrativo al sistema. La scoperta è stata svelata su X dal ricercatore di sicurezza Tom Jøran Sønstebyseter Rønning, che ha dimostrato come il browser decritti l'intero archivio delle password all'avvio, mantenendolo in memoria anche senza che l'utente visiti i siti associati. Secondo l'analisi tecnica, Edge conserva in memoria frammenti JSON contenenti coppie username/password, stringhe delimitate e altre rappresentazioni testuali delle credenziali. Rønning ha spiegato che il browser «decritta e conserva tutte le password salvate in memoria di processo per l'intera durata della sessione», aggiungendo che questo avviene «anche se l'utente non visita i siti che utilizzano quelle credenziali».

La vulnerabilità è stata classificata come un caso di CWE‑316, ovvero memorizzazione in chiaro di informazioni sensibili in memoria. Il comportamento è stato confermato come riproducibile tramite dump di memoria del processo msedge.exe, dove le password risultano leggibili senza necessità di ulteriori passaggi di autenticazione. La questione sembra essere un problema serio sfuggito ai controlli di sicurezza, ma Microsoft ha dichiarato che in realtà il comportamento è voluto, non un bug. Questa posizione è curiosa perché contrasta con l'approccio adottato da altri browser basati su Chromium, come Chrome, che decrittano le password solo quando necessario e utilizzano tecniche come l'App‑Bound Encryption (in cui la decrittazione dei dati è legata all'identità dell'applicazione che l'ha richiesta, non all'account utente) per limitare l'accesso non autorizzato. Edge, invece, mantiene tutte le credenziali in chiaro per l'intera durata della sessione.

Il ricercatore ha evidenziato che chiunque abbia privilegi amministrativi può accedere alla memoria dei processi degli utenti in ambienti condivisi come VDI, terminal server o Citrix. In tali scenari, un aggressore può estrarre le password salvate da Edge e utilizzarle per muoversi "lateralmente" nella rete, impersonare altri utenti o accedere a risorse sensibili. Rønning ha spiegato che «una volta ottenuto l'accesso alla memoria di processo, è possibile estrarre le credenziali e usarle per una vasta gamma di attività malevole». Ulteriori verifiche indipendenti hanno confermato che Edge richiede l'autenticazione tramite Windows Hello per visualizzare le password nel gestore integrato, ma questa protezione non impedisce l'estrazione delle credenziali dalla RAM. La discrepanza tra l'interfaccia utente e il comportamento interno del browser è stata definita da alcuni esperti come una «falsa sensazione di sicurezza».

Test condotti da altri hanno mostrato che le password rimangono in memoria anche dopo il riavvio del browser, purché la sessione rimanga attiva. In un esempio documentato, una password di test è stata trovata in chiaro in un dump di 670 MByte generato subito dopo l'avvio di Edge, senza che l'utente avesse visitato alcun sito. Una volta che la situazione è diventata chiara, le critiche non hanno tardato a montare: in breve, nessuno considera più la memorizzazione persistente in RAM una pratica accettabile.

Ti raccomandiamo anche:
Poste Italiane, i dati di un milione di utenti nel dark web. L'azienda: "Non...
PayPal, allarme sicurezza: i dati di 15,8 milioni di account in vendita sul dark...
Instagram, le password tenute in chiaro erano milioni
Facebook, i dati di mezzo miliardo di utenti accessibili pubblicamente

Microsoft ha ribadito che gli attacchi locali non rientrano nel "modello di minaccia" del browser: in altre parole, Edge è progettato per difendersi dagli attacchi da remoto, non da quelli che possono essere portati da parte di chi ha accesso diretto alla macchina su cui gira il browser; si tratta di una posizione che ha subito suscitato ulteriori discussioni sul livello di protezione atteso in contesti aziendali. La vicenda ha riacceso il dibattito sulla sicurezza dei gestori di password integrati nei browser e sulla necessità di soluzioni più robuste.

Articoli suggeriti:
Facebook ha tenuto centinaia di milioni di password in chiaro. Per anni
Sextortion, il ricatto a sfondo sessuale che usa le vere password degli utenti
20 dollari per compromettere una rete aziendale
Rubati sei milioni di username e password conservati in chiaro

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Password patetiche nei siti di Polizia e Giustizia italiani

Commenti all'articolo (0)

Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Come credi che sarà la vita per la maggior parte della gente nel 2100?
Un idillio ipertech.
Grossomodo come adesso, con qualche giocattolo in più e/o in meno.
Roba da candelabri, biciclette e abaco.
Terribile, da gente allo sbando, senza più civiltà.
Non ci sarà più. Ormai saremo estinti, o sull'orlo dell'estinzione.

Mostra i risultati (3674 voti)
Maggio 2026
n. 4107 del 07-05-2026
Google Chrome scarica un modello AI da 4 GB senza avvisare gli utenti
n. 4106 del 05-05-2026
Ubuntu spinge sull'IA e divide gli utenti
n. 4105 del 01-05-2026
Disastro PocketOS: l'agente IA cancella database e backup in pochi secondi senza supervisione
Aprile 2026
n. 4104 del 29-04-2026
Telemarketing, arrivano i numeri brevi: identificheranno i servizi legittimi
n. 4103 del 27-04-2026
Windows 11 cambia rotta: Microsoft ricostruisce il sistema attorno alle richieste degli utenti
n. 4102 del 23-04-2026
Firefox 150, scovate 271 vulnerabilità con l'IA
n. 4101 del 22-04-2026
IPv6 supera IPv4 per un giorno
n. 4100 del 20-04-2026
Verifica dell'età, l'app UE si buca in meno di due minuti
n. 4099 del 16-04-2026
Alexa+ debutta in Italia: conversa, agisce e si integra nella smart home
n. 4098 del 15-04-2026
Verbatim e I-O Data puntano sul Blu-ray: rinasce un mercato dato per morto
n. 4097 del 13-04-2026
La Francia abbandona Windows
n. 4096 del 09-04-2026
Router TP-Link compromessi in tutto il mondo: così gli hacker russi sottraggono le credenziali
n. 4095 del 07-04-2026
Attività sessuali, persone svestite o alla toilette, carte di credito
n. 4094 del 03-04-2026
Oracle licenzia 30.000 dipendenti via email
Marzo 2026
n. 4093 del 30-03-2026
Windows 11 avrà una barra delle applicazioni compatta in stile Windows 10
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 7 maggio
2026
Windows 11 rinnova la finestra Esegui
2025
Vent'anni di OpenDocument
2024
OpenAI: GPT-4 fa un po' schifo
2022
Italiani e identità digitale, già attivi 30 milioni di SPID
2021
Bill e Melinda Gates si separano. I memi informatici si scatenano
2020
Tanti invocano l'app anti-coronavirus (seconda parte)
2019
Windows 10 disporrà di un vero kernel Linux
2018
I panini sotto accusa: causano i cambiamenti climatici
2017
Il viaggio nel tempo è matematicamente possibile
2016
Esperti: presto, disinstallate QuickTime per Windows!
2015
Microsoft logga gli IP dei pirati di Windows 7
2014
Auto, aereo ed elicottero in un solo veicolo
2013
Web e diritto d'autore, l'AGCOM pronta a intervenire
2012
Zitto blocca (per sempre?) gli scocciatori telefonici
2011
Il maratoneta nudo taserato dalla polizia
2010
In prova: Sony Ericsson Vivaz (3)
2009
Il meglio del forum Windows XP
2008
In prova: 4Geek Medley Hmr-500
2007
Jatropa, la pianta del petrolio
2006
OS X sarà il prossimo Windows?
2005
Quinto Stato cessa le pubblicazioni on line
2004
La guerra Tim-Telecom Italia sul 412
2003
Il chitarrista degli Who non è un pedofilo
2001
L'invasione delle Mele
Olimpo Informatico


 
web metrics