Tutte le password salvate su Edge vengono caricate nella memoria di sistema in testo leggibile all’avvio del browser, anche quando quelle credenziali non sono in uso. Mentre il browser chiede di inserire la password per accedere a un sito, tiene tutte le altre password non protette nella RAM.
Un ricercatore di sicurezza ha pubblicato uno strumento su GitHub che dimostra come estrarle. Microsoft, informata della questione, ha risposto che è un comportamento intenzionale e che non sarebbe un problema…
Edge conserva le password in chiaro nella memoria RAM
Tom Jøran Sønstebyseter Rønning ha pubblicato un proof-of-concept chiamato “EdgeSavedPasswordsDumper”, uno strumento che accede alla memoria del processo Edge e legge username e password in formato testo. Secondo il ricercatore, il processo mantiene costantemente le credenziali decrittate nella memoria, rendendolo un bersaglio potenziale per l’estrazione se un hacker riesce a ottenere privilegi di sistema sufficienti.
Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them. pic.twitter.com/ci0ZLEYFLB
— Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) May 4, 2026
Non è un exploit remoto, serve accesso elevato al sistema. Ma in scenari con sistemi condivisi o multi-utente, come ambienti aziendali, computer di famiglia, postazioni pubbliche, un account compromesso con privilegi da amministratore potrebbe accedere ai dati di più sessioni attive.
Il comportamento è specifico di Edge tra i browser basati su Chromium. Nei test del ricercatore, Google Chrome e Brave non mostrano lo stesso problema, decrittano le credenziali solo quando servono, invece di conservarle in modo persistente nella memoria. Edge le carica tutte all’avvio e le tiene lì.
Che un browser basato sullo stesso motore di Chrome gestisca le password in modo meno sicuro di Chrome stesso dovrebbe far suonare qualche campanello d’allarme. Specialmente per un browser che Microsoft spinge aggressivamente come predefinito su ogni PC Windows.
La risposta di Microsoft
Il ricercatore ha informato Microsoft prima di rendere pubblici i risultati, ma a quanto pare non sarebbe un problema, anzi, è un comportamento voluto. Nessuna spiegazione del perché sia intenzionale, nessun piano per correggerlo, nessun consiglio per gli utenti.
Significa che Microsoft ha scelto di far funzionare Edge in questo modo, punto e basta. Per gli utenti che hanno decine o centinaia di password salvate su Edge, e che Microsoft incoraggia a usare Edge come gestore di password, sapere che sono tutte leggibili nella RAM del computer dal momento dell’avvio è un’informazione che andrebbe comunicata, non liquidata con un “è così per scelta.”
Ti potrebbe interessare
6 mag 2026