Password in chiaro nella memoria di Edge

Un serio problema di sicurezza, ma per Microsoft è tutto OK.



[ZEUS News - www.zeusnews.it - 07-05-2026]

edge password in chiaro ram
Foto di Vova Kondriianenko.

Microsoft Edge memorizza tutte le password salvate nel browser in chiaro nella RAM durante l'intera sessione, esponendo le credenziali a chiunque disponga di accesso amministrativo al sistema. La scoperta è stata svelata su X dal ricercatore di sicurezza Tom Jøran Sønstebyseter Rønning, che ha dimostrato come il browser decritti l'intero archivio delle password all'avvio, mantenendolo in memoria anche senza che l'utente visiti i siti associati. Secondo l'analisi tecnica, Edge conserva in memoria frammenti JSON contenenti coppie username/password, stringhe delimitate e altre rappresentazioni testuali delle credenziali. Rønning ha spiegato che il browser «decritta e conserva tutte le password salvate in memoria di processo per l'intera durata della sessione», aggiungendo che questo avviene «anche se l'utente non visita i siti che utilizzano quelle credenziali».

La vulnerabilità è stata classificata come un caso di CWE‑316, ovvero memorizzazione in chiaro di informazioni sensibili in memoria. Il comportamento è stato confermato come riproducibile tramite dump di memoria del processo msedge.exe, dove le password risultano leggibili senza necessità di ulteriori passaggi di autenticazione. La questione sembra essere un problema serio sfuggito ai controlli di sicurezza, ma Microsoft ha dichiarato che in realtà il comportamento è voluto, non un bug. Questa posizione è curiosa perché contrasta con l'approccio adottato da altri browser basati su Chromium, come Chrome, che decrittano le password solo quando necessario e utilizzano tecniche come l'App‑Bound Encryption (in cui la decrittazione dei dati è legata all'identità dell'applicazione che l'ha richiesta, non all'account utente) per limitare l'accesso non autorizzato. Edge, invece, mantiene tutte le credenziali in chiaro per l'intera durata della sessione.

Il ricercatore ha evidenziato che chiunque abbia privilegi amministrativi può accedere alla memoria dei processi degli utenti in ambienti condivisi come VDI, terminal server o Citrix. In tali scenari, un aggressore può estrarre le password salvate da Edge e utilizzarle per muoversi "lateralmente" nella rete, impersonare altri utenti o accedere a risorse sensibili. Rønning ha spiegato che «una volta ottenuto l'accesso alla memoria di processo, è possibile estrarre le credenziali e usarle per una vasta gamma di attività malevole». Ulteriori verifiche indipendenti hanno confermato che Edge richiede l'autenticazione tramite Windows Hello per visualizzare le password nel gestore integrato, ma questa protezione non impedisce l'estrazione delle credenziali dalla RAM. La discrepanza tra l'interfaccia utente e il comportamento interno del browser è stata definita da alcuni esperti come una «falsa sensazione di sicurezza».

Test condotti da altri hanno mostrato che le password rimangono in memoria anche dopo il riavvio del browser, purché la sessione rimanga attiva. In un esempio documentato, una password di test è stata trovata in chiaro in un dump di 670 MByte generato subito dopo l'avvio di Edge, senza che l'utente avesse visitato alcun sito. Una volta che la situazione è diventata chiara, le critiche non hanno tardato a montare: in breve, nessuno considera più la memorizzazione persistente in RAM una pratica accettabile.

Sullo stesso tema:
Microsoft Edge elimina la master password
Poste Italiane, i dati di un milione di utenti nel dark web. L'azienda: "Non...
PayPal, allarme sicurezza: i dati di 15,8 milioni di account in vendita sul dark...
Instagram, le password tenute in chiaro erano milioni

Microsoft ha ribadito che gli attacchi locali non rientrano nel "modello di minaccia" del browser: in altre parole, Edge è progettato per difendersi dagli attacchi da remoto, non da quelli che possono essere portati da parte di chi ha accesso diretto alla macchina su cui gira il browser; si tratta di una posizione che ha subito suscitato ulteriori discussioni sul livello di protezione atteso in contesti aziendali. La vicenda ha riacceso il dibattito sulla sicurezza dei gestori di password integrati nei browser e sulla necessità di soluzioni più robuste.

Spunti di approfondimento:
Facebook, i dati di mezzo miliardo di utenti accessibili pubblicamente
Facebook ha tenuto centinaia di milioni di password in chiaro. Per anni
Sextortion, il ricatto a sfondo sessuale che usa le vere password degli utenti
20 dollari per compromettere una rete aziendale

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Rubati sei milioni di username e password conservati in chiaro
Password patetiche nei siti di Polizia e Giustizia italiani

Commenti all'articolo (4)


zeross
A quanto pare qualcuno crede seriamente che le aziende siano un paradiso di brave persone che si vogliono bene e non si fanno dispetti e vendette! :?
8-5-2026 21:56
gqn77
Qualcuno dica a MIcrosoft che non è Apple. Non può dire che un difetto è una "caratteristica".
8-5-2026 16:41

jinkazama82it
Chi usava internet Explorer all'epoca e chi usa Edge oggi se le va proprio a cercare, i browser Microsoft non sono mai stati e mai lo saranno i browser più sicuri da usare e chi li usa di prendere tutti i rischi del caso; io dal mio da quando esiste uso Firefox
8-5-2026 07:22
{Carlo}
Mi sembra che sia sufficiente NON usare Edge, o sbaglio?
7-5-2026 20:38
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Negli ultimi 12 mesi hai danneggiato accidentalmente un oggetto tecnologico portatile? (per esempio smartphone, fotocamera, notebook, tablet, ebook reader)
Sì, mi è caduto a terra.
Sì, mi è caduto in acqua (o ci ho versato dei liquidi).
Sì, ci ho lasciato giocare un bambino.
Sì, mi ci sono seduto sopra.
Sì, mentre lo lanciavo a un amico (o sulla scrivania).
No.

Mostra i risultati (2632 voti)
Giugno 2026
n. 4124 del 15-06-2026
Windows Ready Print rivoluziona la stampa: addio ai driver proprietari
n. 4123 del 11-06-2026
Debutta Euro-Office tra le proteste di LibreOffice
n. 4122 del 10-06-2026
Lo strumento che ti dice quali modelli IA puoi eseguire davvero sul tuo PC
n. 4121 del 09-06-2026
ChatGPT, arriva Lockdown Mode
n. 4120 del 08-06-2026
Iliad lancia il suo FWA: modem 5G, attivazione rapida e velocità fino a 300 Mbps
n. 4119 del 05-06-2026
Microsoft: sistema operativo e app sono al capolinea. È l'ora degli agenti IA
n. 4118 del 03-06-2026
Quousque tandem abutere, Ursula, patientia nostra?
n. 4117 del 01-06-2026
Grave falla in 7-Zip
Maggio 2026
n. 4116 del 29-05-2026
Denunce ai Carabinieri sull'app IO
n. 4115 del 27-05-2026
Apre Virtual OS Museum: 75 anni di sistemi operativi
n. 4114 del 25-05-2026
Crisi delle memorie, la luce in fondo al tunnel
n. 4113 del 21-05-2026
Copilot invade Excel
n. 4112 del 19-05-2026
49.000 persone senza elettricità: il fornitore preferisce alimentare i datacenter della IA
n. 4111 del 15-05-2026
Gmail, lo spazio gratuito si riduce a 5 Gbyte
n. 4110 del 14-05-2026
Crisi della RAM, in vendita DDR 5 false con i chip in fibra di vetro
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 16 giugno
2026
Huawei, i primi desktop HarmonyOS arrivano a settembre
2025
Canzoni e artisti creati dall'IA invadono YouTube e Spotify. A rimetterci so...
2024
Meta rinuncia a lanciare la propria IA in Europa
2023
Windows 10, aggiornamento forzato per le vecchie versioni
2022
Microsoft sistema finalmente la vulnerabilità Follina
2021
L'aggiornamento di Windows che sfoca lo schermo
2020
Intel annuncia i processori con anti-malware incorporato
2019
Il CERN lascia Microsoft e passa all'open source
2018
Microsoft: "È l'intelligenza artificiale a gestire gli aggiornamenti di...
2017
Firefox 54, più sicuro con la sandbox e più leggero
2016
Rivoluzione Linux con le snap di Ubuntu ovunque
2015
11 bufale hi-tech a cui molti continuano a credere
2014
Il sistema operativo che usano gli esperti di sicurezza
2012
Da Vodafone l'ombrello per ricaricare il cellulare
2011
La Wii U di Nintendo toglie i veli
2010
La presa intelligente che fa risparmiare
2009
Musica online in abbonamento con Virgin Media
2008
Intel: "Non terremo segrete le specifiche di Usb 3.0"
2007
Intel e Google collaborano col WWF
2006
L'Informazione pubblica come bene comune
2005
L'estate degli utenti Tim
2004
27 milioni di utenti UMTS entro il 2005
2001
Un altro passo avanti contro il Cybersquatting
Olimpo Informatico


 
web metrics