A Microsoft ajustou o Edge após a descoberta de que o navegador carregava senhas salvas em texto simples na memória RAM durante a inicialização. O comportamento foi identificado pelo pesquisador de segurança Tom Jøran Sønstebyseter Rønning, que alertou a empresa sobre o risco.
Segundo o pesquisador, o Edge descriptografava credenciais salvas e as mantinha residentes na memória do processo, mesmo quando o usuário não acessava sites que usavam aquelas senhas. Em caso de malware ou invasão com acesso à memória do sistema, esses dados poderiam ser capturados com mais facilidade.
Microsoft mudou o Edge após crítica de pesquisador
Inicialmente, a Microsoft respondeu que o comportamento era esperado e só representaria risco se o computador já estivesse comprometido. A justificativa gerou críticas, já que manter credenciais descriptografadas facilita o trabalho de um invasor em caso de infecção.
Depois da repercussão, a empresa mudou a postura. A Microsoft ainda afirma que o caso não se encaixa em seus critérios formais de vulnerabilidade, mas reconheceu que havia espaço para melhoria.
Correção já está disponível no Edge 148
A mudança foi aplicada no Edge 148, versão atual do navegador, em todos os canais: Estável, Beta, Dev e Canary. Com isso, o Edge deixa de carregar senhas salvas na memória logo na inicialização.
O usuário não precisa fazer nenhuma configuração manual. Basta manter o navegador atualizado para receber a correção.
Quem usa o gerenciador de senhas do Edge deve verificar se o navegador está atualizado. Também vale manter o Windows protegido, evitar extensões suspeitas e usar autenticação em dois fatores sempre que possível.
