Техно Интернет Microsoft Edge имеет серьезную уязвимость, которая может стоить вам всей вашей онлайн-жизни

5 мая, 11:54

8 мин

Microsoft Edge имеет серьезную уязвимость, которая может стоить вам всей вашей онлайн-жизни

Александр Гайдамашко

Основные тезисы

Microsoft Edge загружает каждый сохраненный пароль в память своего процесса как открытый текст сразу после запуска программы, что создает значительный риск для безопасности данных.
Эксперты советуют избегать сохранения конфиденциальных данных в Edge, а использовать сторонние менеджеры паролей для повышения безопасности.

Уязвимость Microsoft Edge может раскрывать ваши пароли и логины

Архитектура Microsoft Edge вызывает беспокойство экспертов / Коллаж 24 Канала/Depositphotos

Современные веб-технологии обещают пользователям высокий уровень защиты личных данных, однако реальность иногда оказывается иной. Недавние исследования выявили специфическую особенность работы популярного браузера, которая создает потенциальные риски для безопасности информации в цифровой среде.

Что не так с Microsoft Edge?

Новое исследование в области цифровой безопасности выявило, что Microsoft Edge загружает каждый сохраненный пароль в память своего процесса как открытый текст сразу после запуска программы. Наиболее неожиданной для профессионального сообщества стала официальная реакция корпорации Microsoft на это сообщение. В компании заявили, что такое поведение программы не является ошибкой, а реализовано намеренно и соответствует запланированной архитектуре, пишет GBHackers.

Согласно отчету об угрозах, который выпустили International Cyber Digest, браузер Edge создает значительный риск для тех, кто хранит свои учетные данные непосредственно в браузере. В отличие от других современных аналогов, этот браузер не ждет, пока человек посетит конкретный веб-сайт. Вместо этого он расшифровывает и сохраняет в памяти абсолютно все учетные данные, как только приложение открывается. Этот кэш включает пароли даже к тем ресурсам, которые пользователь не планирует открывать во время текущей сессии.

Исследователь безопасности с никнеймом @L1v1ng0ffTh3L4N в соцсети X провел тестирование всех основных браузеров на базе Chromium и подтвердил, что Edge – единственный, кто работает по такому принципу.

Для сравнения, Google Chrome использует значительно более безопасный подход. Chrome расшифровывает данные исключительно по запросу, используя технологию App-Bound Encryption, которая привязывает криптографические ключи к аутентифицированному процессу браузера, что мешает другим программам похитить их. В Chrome пароли сохраняются в памяти только во время автоматического заполнения форм или когда владелец учетной записи просматривает их в настройках.

Почему это опасно?

Наибольшую опасность такой подход представляет в средах совместного использования компьютеров, например, на терминальных серверах. Если злоумышленник получает права администратора, он может считать память каждого процесса, запущенного на машине.

Опубликованное видео с демонстрацией концепции подтверждает эту угрозу: скомпрометированная учетная запись администратора успешно похитила данные двух других пользователей в той же системе. При этом жертвам достаточно просто иметь Edge запущенным в фоновом режиме, даже если их сессии на тот момент были отключены.

Пользователь @L1v1ng0ffTh3L4N показал, как легко Edge выдает данные: смотрите видео

Video of @L1v1ng0ffTh3L4N's tool in action.

В опубликованном PoC видео, скомпрометированная учетная запись администратора поднимает сохраненные учетные данные двух других вошедших в систему (и даже отключенных) пользователей с запущенным Edge. pic.twitter.com/1xMMMPbeP1
- International Cyber Digest (@IntCyberDigest) 4 мая, 2026

Ситуация выглядит еще более противоречивой из-за того, что Edge все равно требует повторной аутентификации, например, введения ПИН-кода или пароля Windows, перед тем как показать данные в интерфейсе менеджера паролей. Однако, поскольку процесс браузера уже держит все эти пароли в открытом виде за кулисами, такие меры безопасности в интерфейсе становятся сугубо декоративными.

Эту уязвимость официально обнародовали 29 апреля на конференции Big Bite Of Tech представители подразделения Palo Alto Networks Norway. Вместе с докладом исследователь выпустил инструмент на GitHub под названием "EdgeSavedPasswordsDumper", который позволяет командам безопасности самостоятельно проверить наличие открытых данных в памяти своих систем.

Что делать пользователям?

Пока Microsoft не изменит свое отношение к этой архитектуре, эксперты советуют избегать сохранения конфиденциальных данных непосредственно в Edge, отдавая предпочтение сторонним менеджерам паролей. К счастью, сегодня таких есть немало.

5 лучших менеджеров паролей в 2026 году

В 2026 году рынок менеджеров паролей уже стабилизировался: есть несколько сервисов, которые постоянно появляются во всех независимых тестах и рейтингах. Ключевые критерии здесь – уровень шифрования, модель "zero-knowledge", поддержка passkeys, удобство автозаполнения и кроссплатформенность. Ниже – пять сервисов, которые реально считаются лучшими по совокупности факторов.

1Password остается одним из самых сбалансированных вариантов, который издание Tom's Guide ставит на первое место. Его часто называют "золотым стандартом" среди менеджеров паролей из-за сочетания безопасности, UX и дополнительных функций. Сервис использует собственный "Secret Key" вместе с мастер-паролем, поддерживает passkeys и имеет функции вроде Watchtower для мониторинга утечек. Минус – отсутствие полностью бесплатного тарифа, но для многих это оправдано качеством.

Bitwarden – это фактически эталон бесплатного решения. Он open-source, проходит регулярные аудиты и предлагает почти все ключевые функции даже без подписки: неограниченное хранение паролей, синхронизацию между устройствами и поддержку passkeys. Это один из немногих менеджеров, где бесплатная версия не выглядит урезанной. Издание TechRadar поставило его на четвертое место в своем собственном рейтинге.

NordPass в 2026 году часто называют "лучшим в целом" за баланс цены, безопасности и простоты. Он использует современное шифрование XChaCha20, имеет очень простой интерфейс и активно развивает функции – например, встроенный TOTP-аутентификатор. Это вариант для тех, кто хочет минимум сложности без потери безопасности.

Dashlane – более "продвинутый" продукт с акцентом на дополнительные сервисы. Он предлагает не только менеджер паролей, но и VPN, мониторинг даркнета и автоматическую смену скомпрометированных паролей. Это хороший выбор для пользователей, которые хотят комплексную защиту, но он дороже конкурентов, пишет ProPrivacy.

Keeper – один из самых сильных вариантов в плане "чистой" безопасности, особенно для бизнеса. Он предлагает zero-trust архитектуру, гибкое управление доступом и расширенные корпоративные функции. Его часто рекомендуют тем, кому важно не только удобство, но и контроль доступа и аудит, отмечает Gartner.

Как выбрать лучший?

В итоге картина такова: если нужен универсальный премиум – это 1Password или NordPass; если бесплатно и максимально прозрачно – Bitwarden; если хотите "комбайн" с дополнительными функциями – Dashlane; если акцент на безопасности или бизнесе – Keeper.

Несмотря на разницу между ними, все эти сервисы работают по одной базовой модели – зашифрованное хранилище, к которому не имеет доступа даже сам провайдер, и именно это сейчас является отраслевым стандартом.

Какие еще уязвимости находили в Microsoft Edge?

Одна из самых серьезных недавних уязвимостей – это CVE-2026-3910, которую уже активно эксплуатируют в реальных атаках. Она позволяет выполнение произвольного кода внутри sandbox среды браузера через специально сформированную HTML-страницу. Фактически, это означает, что злоумышленник может заставить Edge выполнить вредоносный код просто после открытия страницы, несмотря на то, что sandbox должен изолировать такие процессы. Риск оценивается как критический именно из-за подтвержденного использования "in the wild", пишет HKCERT.

Вторая критическая категория – это уязвимости типа out-of-bounds доступа к памяти в V8 (например, CVE-2026-0899). Такие баги возникают в движке JavaScript и позволяют читать или изменять память вне разрешенных границ. В практическом сценарии это открывает путь к полному компрометированию браузера – включая выполнение кода, утечкой данных или даже захватом системы. Из-за высокого уровня доступа, который имеет V8, эти уязвимости традиционно считаются одними из самых опасных в Chromium-браузерах, сообщает профильный ресурс Rapid7.

Третья важная группа – это цепи уязвимостей 2026 года (например, CVE-2026-7333 / 7334), которые сочетают сразу несколько типов атак: удаленное выполнение кода, утечка информации, обход защитных механизмов и даже отказ в обслуживании. Именно комбинация этих эффектов делает их критическими, поскольку злоумышленник может пройти полный цикл атаки – от проникновения через веб-страницу до получения контроля над данными пользователя. Такие многокомпонентные уязвимости особенно опасны в корпоративной среде.

Если обобщить, самые серьезные проблемы Edge сейчас – это не отдельные баги, а классы уязвимостей: выполнение кода через браузер, ошибки памяти в V8 и комбинированные эксплойты. Именно они дают атакующему максимум контроля при минимальном взаимодействии со стороны пользователя.