Ha azt hitted, hogy a jelszókezelőd egy páncélszekrény a böngésződ mélyén, van egy rossz hírem: a Microsoft Edge esetében ez a páncélszekrény nemcsak nyitva van, de a tartalmát egy neonfelirattal megvilágított svédasztalra is kipakolja a RAM-ba, amint rákattintasz az ikonra.
Egy biztonsági kutató, név szerint @L1v1ng0ffTh3L4N nemrég rávilágított arra, amit a Microsoft évek óta próbál a „by design” feliratú szőnyeg alá söpörni: az Edge az összes elmentett jelszavadat titkosítás nélkül, sima szövegként tölti be a folyamatmemóriába a böngésző indításakor.
A memóriakezelés, mint nyitott könyv
Hogy megértsük a probléma súlyát, érdemes benézni a motorháztető alá. Amikor a Windows elindít egy programot, kap egy dedikált szeletet a rendszer memóriájából (RAM), amit folyamatmemóriának (process memory) hívunk. Ideális esetben egy szoftver csak azt tartja itt, amivel éppen dolgozik.
Az Edge fejlesztői azonban úgy döntöttek, a „hatékonyság” fontosabb a biztonságnál. Ahelyett, hogy akkor nyúlnának a titkosított adatbázishoz, amikor éppen be akarsz lépni a Facebookra vagy a céli admin felületre, az Edge a start pillanatában az összes létező mentett jelszót visszafejti, és ömlesztett, olvasható szövegként leparkolja a RAM-ba.
A technikai abszurd: Nem számít, hogy aznap megnyitod-e az adott oldalt. Nem számít, hogy egyáltalán szükséged van-e arra a jelszóra. Az Edge úgy kezeli a memóriát, mint egy hanyag titkárnő, aki reggel az összes bizalmas aktát kiteríti az asztalra, hátha valaki később bele akar nézni.
Miért halálos ítélet ez a RAM-ban?
A modern operációs rendszerekben a folyamatok elvileg el vannak szigetelve, de ez csak az elmélet. Ha egy kártékony kód (infostealer) vagy egy megfelelő jogosultságokkal rendelkező másik program „belenyúl” az Edge memóriaszeletébe, nem titkosított zagyvaságot talál, hanem szépen sorba rendezett felhasználóneveket és jelszavakat.
Míg a Chrome a 127-es verziótól kezdve szigorúan on-demand (igény szerint) fejti vissza a jelszavakat, és azokat is védi a folyamathoz kötött titkosítással (App-Bound Encryption), az Edge-nél a memória védtelen. Hiába van bekapcsolva a lemezen lévő adatok titkosítása, ha a memóriában minden ott virít „plain text” formátumban.
Biztonsági színház és a „by design” cinizmusa
A Microsoft marketingesei imádják a látványos védelmi vonalakat. Ott van például az a funkció, ami PIN-kódot kér, mielőtt megnéznéd a jelszavaidat a beállításokban. Ez csak színház. Mire a felugró ablak megjelenik, a jelszavaid már régen ott csücsülnek nyers szövegként a RAM-ban. A kód csak a grafikus felületet (UI) védi, a memóriát – ahol a valódi támadók turkálnak – egyáltalán nem.
RDS és Terminal Server: A kiberbűnözők svédasztala
A helyzet kritikus pontja a vállalati környezet, pontosabban a Remote Desktop Services (RDS). Egy megosztott szerveren egyetlen kompromittált adminisztrátori fiók elég ahhoz, hogy a támadó az összes bejelentkezett (vagy épp lecsatlakozott, de a háttérben futó) felhasználó memóriájából kiszippantsa a jelszavakat.
A kutató által publikált EdgeSavedPasswordsDumper pontosan ezt teszi: mint egy mágnes, rántja ki a memóriából az adatokat. A 2026-os adatok szerint az így ellopott céges jelszavak 48 órán belül (de gyakran hamarabb) már eladósorba kerülnek a dark weben.
Mit tehetsz? (A Microsoft helyett is)
A Microsoft álláspontja szerint ez nem hiba, mert „ha a gép már fertőzött, a böngésző nem tud megvédeni”. Ez egy kényelmes érv, csak éppen a Chrome bizonyította, hogy lehet nehezíteni a támadók dolgát. Az Edge viszont szándékosan hagyja nyitva az ajtót.
- Felejtsd el a böngészőbe épített jelszókezelőt: Használj dedikált megoldást (pl. Bitwarden, 1Password). Ezek a jelszavakat saját, védett memóriatartományban kezelik, és nem terítik ki a RAM-ba az egész készletet indításkor.
- Vállalati szinten tiltsd le: GPO segítségével kényszerítsd ki a
PasswordManagerEnabled = Disabledbeállítást. - Vedd észre a behatolást: A biztonsági csapatok figyeljék az
msedge.exefolyamatmemóriáját érintő szokatlanReadProcessMemoryhívásokat (MITRE T1555.003).
Összegzés: Az Edge memóriakezelési stratégiája jelenleg egy biztonsági katasztrófa. Amíg a Microsoft szerint az „összes jelszó a RAM-ban” egy elfogadható tervezési döntés, addig neked kell döntened: a kényelmet választod, vagy a jelszavaid biztonságát.