前言

最近有媒体爆出Edge浏览器在运行期间，可能会把已保存的密码以明文形式加载到进程内存中。而且Edge浏览器还会主动获取电脑上其他浏览器保存的密码，微软的官方策略文档中也明确存在 “AutoImportAtFirstRun” 和 “ImportSavedPasswords” 这类导入相关策略。也就是说即使你从来不用Edge浏览器，微软在更新时也会同步chrome浏览器的历史和密码，随时都有暴露的风险。
虽然我自己对这个漏洞的原理不是完全了解，而且感觉内存中的明文也无所谓，不过既然看到了，就尽量避免一下。

漏洞复现

1. 先看一下自己的“已保存的密码”列表，可以在浏览器中输入edge://settings/passwords
   
   
   
   我已经清理过了，仅保留这两个做演示
2. 下载Process Hacker开源软件，提取Edge内存
   可以在应用商店或官网下载：https://processhacker.sourceforge.io/
3. 打开软件，在进程列表中找到msedge.exe，右键Create dump file，选择full，导出dump文件
   
   
4. dmp文件非常大，要通过专业的文件编辑器打开，我使用vs打开
   
   
5. 可以看到网址、协议、用户名密码都是通过明文保存在内存里
   
   
6. 离谱的是在浏览器中查看我的密码还需要验证，而内存里的却没有
   
   

如何防护

1. 删除Edge里已经保存的密码
   
   
2. 清除浏览器数据
   
   
3. 关闭密码自动保存和填充
   
   

不把密码交给浏览器

最稳妥的做法是：
不要把重要密码保存在浏览器里，而是使用第三方独立密码管理器。
我之前也介绍过如何免费搭建开源密码管理工具Bitwarden，支持 Windows、macOS、Linux、Android、iOS 和浏览器插件。
无须NAS，CloudFlare免费搭建开源密码管理工具Bitwarden

结尾

我个人觉得这个漏洞虽然没那么严重，不过貌似只有edge浏览器才有，且微软明知道却不改进，只好自己尽量小心了。