O que aconteceu e por que isso é grave

A Falha no Edge expõe senhas em texto simples na memória logo na inicialização do navegador. Pesquisador norueguês Tom Rønning descobriu que o Microsoft Edge descriptografava todas as credenciais salvas e as mantinha na memória RAM mesmo antes de o usuário acessar qualquer site. Em um computador já infectado por malware, um hacker poderia capturar essas informações sem esforço extra.

Da negação à correção: a mudança de postura da Microsoft

Quando alertada, a empresa inicialmente afirmou que esse era um “comportamento esperado” — afinal, o risco só existiria se a máquina estivesse comprometida. A reação negativa da comunidade de segurança no navegador foi imediata: reduzir a barreira para o invasor nunca é aceitável. Pressionada, a companhia lançou o Edge 148, atualização que elimina o carregamento automático das senhas descriptografadas da memória RAM. A mudança foi necessária devido a críticas em relação à segurança do navegador.

Como a falha funcionava (e ainda pode existir em versões antigas)

Falha no Edge expõe senhas em texto simples na memória porque o gerenciador de senhas do Edge precisava das credenciais decifradas para o preenchimento automático de senhas. O processo principal do navegador mantinha um buffer com todas elas em texto simples, acessível via ferramentas de depuração ou injeção de código malicioso. Se você não atualizou para o Edge 148 ou posterior, suas senhas continuam vulneráveis enquanto o programa estiver aberto. Para evitar esses problemas, é recomendável usar um gerenciador de senhas externo que adote melhores práticas de segurança.

Resumo técnico rápido

  • Descriptografia acontece na inicialização.

  • Buffer permanece residente até o Edge ser fechado.

  • Qualquer processo com privilégios pode fazer memory dump e ler as credenciais.

O que fazer agora para proteger suas credenciais

Falha no Edge expõe senhas em texto simples na memória, mas a correção já está disponível. Para quem gerencia várias máquinas:

Por que outros navegadores também merecem atenção

Chrome e Firefox não carregam todas as credenciais decifradas logo na inicialização, mas processos de preenchimento automático de senhas inevitavelmente precisam descriptografá-las no momento do uso. Ou seja, qualquer browser pode vazar senhas se houver vulnerabilidade semelhante ou acesso de alto privilégio ao sistema. A lição é clara: segurança e privacidade dependem tanto do software quanto das boas práticas do usuário.