Een beveiligingsonderzoeker maakte op 29 april 2026 bekend dat Microsoft Edge bij het opstarten elk opgeslagen wachtwoord decodeert in het procesgeheugen en deze gedurende de hele sessie in leesbare tekst bewaart, ongeacht de gebruikersactiviteit. Deze bevinding, gepresenteerd op BigBiteOfTech, geeft aanleiding tot grote zorgen over de verwerking van inloggegevens in gedeelde Windows-omgevingen. De onderzoeker, bekend als @L1v1ng0ffTh3L4N, voerde een systematische analyse uit van de belangrijkste Chromium-gebaseerde browsers, waaruit bleek dat Edge de enige browser was die de volledige wachtwoordkluis bij het opstarten in leesbare tekst bewaarde, aldus Cyber Security News.
De openbaarmaking omvatte een openbare verificatietool waarmee gebruikers kunnen controleren of hun Edge-browser leesgegevens in leesbare tekst bevat. Op 4 mei plaatste onderzoeker Tom Joran Sonstebyseter Ronning een videodemonstratie van de bevindingen, die kort daarna 5.900 reacties opleverde. Microsoft reageerde op de onthulling en stelde dat dit gedrag ‘door het ontwerp’ is.
De wachtwoordverwerking van Edge wijkt sterk af van de praktijken van Google Chrome. Cyber Security News benadrukte dat Chrome gebruik maakt van on-demand decodering, waarbij inloggegevens alleen worden ontgrendeld wanneer dat nodig is, en gebruik maakt van app-gebonden encryptie, die decoderingssleutels aan een geverifieerd proces koppelt. Daarentegen laadt Edge alle opgeslagen inloggegevens in leesbare tekst vanaf het moment dat het wordt gestart, waardoor ze worden blootgesteld aan potentiële geheugengebaseerde extractieaanvallen.
Ondanks dat gebruikers worden gevraagd zich opnieuw te authenticeren voordat wachtwoorden worden onthuld, zijn dezelfde inloggegevens toegankelijk in het geheugen, waardoor dergelijke prompts niet effectief zijn tegen geheugengebaseerde aanvallen. Angus Holliday, een Senior Security Operations Specialist, verduidelijkte dat Microsoft’s App-Bound Encryption gegevens in rust beschermt, maar het geheugen niet. In de beleidsdocumentatie van Microsoft, bijgewerkt op 27 januari 2026, staat dat het uitschakelen van app-gebonden encryptie ervoor kan zorgen dat ongeautoriseerde applicaties toegang krijgen tot encryptiesleutels.
Deze kwetsbaarheid is uitgesproken in gedeelde omgevingen of omgevingen met meerdere gebruikers. Een aanvaller met beheerdersrechten kan het geheugen van alle ingelogde gebruikersprocessen lezen, wat kan leiden tot potentiële blootstelling van inloggegevens van meerdere gebruikers. Een openbare proof-of-concept-video demonstreerde een beheerdersaccount die met succes opgeslagen inloggegevens van andere gebruikers extraheerde door toegang te krijgen tot het Edge-procesgeheugen.
Microsoft erkent dat haar openbare documentatie over de wachtwoordbeheerder van Edge de kwetsbaarheid van inloggegevens in het geheugen erkent, maar dergelijke aanvallen categoriseert als buiten het bedreigingsmodel van de browser. De documentatie waarschuwt dat lokale aanvallen of malware toegang kunnen krijgen tot de gedecodeerde browseropslag, wat aanleiding geeft tot bezorgdheid over de inherente risico’s van Edge’s ontwerp, vooral voor organisaties die het gebruik ervan standaardiseren.
Mike Pedrick, een Chief Information Security Officer, merkte op dat sommige organisaties Edge als de enige toegestane browser benoemen en prioriteit geven aan standaardisatie boven beveiliging. Cyber Security News adviseerde dat beveiligingsteams die Windows-omgevingen met Edge gebruiken, zouden moeten overwegen om naar browsers met betere beveiligingspraktijken te migreren totdat Microsoft dit ontwerpprobleem wijzigt.
Op de wereldwijde browsermarkt had Edge vanaf het eerste kwartaal van 2025 een aandeel van 7,018% en stond daarmee op de derde plaats, na Chrome en Safari. Het marktaandeel is echter aanzienlijk groter in bedrijfsomgevingen, waar Edge vaak de standaardbrowser is op beheerde Windows-apparaten, waardoor er met name binnen de marketing- en reclamesector zorgen ontstaan over de gegevensverwerking.
