Microsoft Edge non caricherà più le password in memoria
Topic
Approfondimenti
Trending
tutti

Microsoft Edge non caricherà più le password in memoria

Anche se non è considerata una vulnerabilità, Microsoft modificherà Edge per non caricare più in memoria le password salvate nel password manager.
Microsoft Edge non caricherà più le password in memoria
Sicurezza App e Software Browser
Anche se non è considerata una vulnerabilità, Microsoft modificherà Edge per non caricare più in memoria le password salvate nel password manager.
Google AI Studio
Aggiungi Punto Informatico come Fonte preferita su Google

Un ricercatore di sicurezza aveva scoperto che Edge carica tutte le password in memoria all’avvio e sono accessibili in chiaro (senza crittografia). Dopo aver evidenziato che si tratta di una scelta intenzionale, Microsoft ha cambiato idea. Le credenziali non verranno più caricate nella RAM a partire dalla versione 148 o successive del browser.

Non era una vulnerabilità, ma verrà eliminata

Il ricercatore Tom Jøran Sønstebyseter Rønning aveva scoperto che, all’avvio di Edge, tutte le password salvate nel password manager vengono decifrate all’avvio e tenute nella memoria anche se non utilizzate. Ha quindi pubblicato su GitHub il codice di un tool, denominato EdgeSavedPasswordsDumper, che permette il dump delle credenziali da tutti i processi Edge di tutti gli utenti (con privilegi di amministratore) o solo dal processo Edge del singolo utente (senza privilegi di amministratore).

Microsoft aveva specificato che questo comportamento è “per design”. In pratica è una vulnerabilità intenzionale che non sarebbe stata corretta. Il ricercatore ha tuttavia evidenziato che Edge è l’unico browser basato su Chromium che gestisce le password in questo modo.

L’azienda di Redmond ha ora comunicato che le password non verranno più caricate in memoria all’avvio di Edge. La modifica sarà inclusa in tutte le versioni del browser (Canary, Dev, Beta e Stable). Al momento è disponibile nella versione Canary. Verrà inclusa a partire da Edge 148 (o successive versioni).

Microsoft ribadisce che lo scenario descritto dal ricercatore richiede già l’accesso al dispositivo da parte di un cybercriminale. Se quest’ultimo riesce ad eseguire localmente software con privilegi di amministratore, la situazione esula dalle difese del browser (o di qualsiasi altra applicazione). In pratica cambia poco se le password sono o meno caricate in memoria perché il cybercriminale può accedervi lo stesso.

L’azienda di Redmond promette di garantire la massima sicurezza, anche se i problemi non soddisfano i criteri previsti dalle linee guida del progetto Chromium.

Fonte: Bleeping Computer

Pubblicato il 15 mag 2026

Link copiato negli appunti

Ti potrebbe interessare

Vulnerabilità zero-day Exchange Server: attacchi in corso

Vulnerabilità zero-day Exchange Server: attacchi in corso
Truffa bonus carburante: attenzione ai falsi SMS INPS

Truffa bonus carburante: attenzione ai falsi SMS INPS
NordVPN è disponibile con uno sconto mai visto: è la migliore VPN da attivare oggi

NordVPN è disponibile con uno sconto mai visto: è la migliore VPN da attivare oggi
ChatGPT su Mac, attacco hacker a OpenAI: ecco cosa fare ora

ChatGPT su Mac, attacco hacker a OpenAI: ecco cosa fare ora
Vulnerabilità zero-day Exchange Server: attacchi in corso

Vulnerabilità zero-day Exchange Server: attacchi in corso
Truffa bonus carburante: attenzione ai falsi SMS INPS

Truffa bonus carburante: attenzione ai falsi SMS INPS
NordVPN è disponibile con uno sconto mai visto: è la migliore VPN da attivare oggi

NordVPN è disponibile con uno sconto mai visto: è la migliore VPN da attivare oggi
ChatGPT su Mac, attacco hacker a OpenAI: ecco cosa fare ora

ChatGPT su Mac, attacco hacker a OpenAI: ecco cosa fare ora
Luca Colantuoni
Pubblicato il
15 mag 2026
Link copiato negli appunti