एज कदाचित तुमचे सर्व पासवर्ड सहजपणे लीक करू शकते आणि मायक्रोसॉफ्ट म्हणते की ते “डिझाइननुसार” आहे
एज स्टार्टअपवर प्लेनटेक्स्ट मेमरीमध्ये पासवर्ड संचयित करते; दोष विरुद्ध चाचणी करण्यासाठी एक साधन सोडण्यात आले आहे.
5 मे 2026 16:04 EDT
सायबरसुरक्षा संशोधकाने मायक्रोसॉफ्ट एजमध्ये सेव्ह केलेले पासवर्ड कसे हाताळले जातात यावर प्रकाश टाकणारे प्रूफ-ऑफ-कॉन्सेप्ट (PoC) टूल रिलीझ केले आहे. टॉम जोरान सॉन्स्टेबायसेटर रॉनिंग या नावाने ऑनलाइन ओळखल्या जाणाऱ्या संशोधकाने त्यांचे निष्कर्ष कार्यरत प्रात्यक्षिकांसह X सारख्या सोशल मीडिया हँडलवर शेअर केले.
पोस्टनुसार, Microsoft Edge स्टार्टअपच्या वेळी सिस्टीम मेमरीमध्ये सेव्ह केलेली वापरकर्ता क्रेडेन्शियल लोड करते, जरी ती क्रेडेन्शियल सक्रियपणे वापरात नसतानाही. आणि RAM मध्ये सर्व पासवर्ड असुरक्षित असताना ब्राउझर तुम्हाला पुन्हा लॉग इन करण्यास सांगतो.
वर्तन स्पष्ट करण्यासाठी, संशोधकाने GitHub वर “EdgeSavedPasswordsDumper” नावाचे एक साधन प्रकाशित केले. सुरक्षितता व्यावसायिकांना आणि वापरकर्त्यांना ब्राउझर वातावरणात संचयित क्रेडेन्शियल कसे व्यवस्थापित केले जातात हे सत्यापित करण्यात मदत करण्यासाठी डिझाइन केलेली शैक्षणिक उपयुक्तता म्हणून प्रकल्पाचे वर्णन केले आहे. हे टूल ब्राउझरच्या प्रोसेस मेमरीमध्ये प्रवेश करून कार्य करते, जिथे वापरकर्तानाव आणि संकेतशब्द वाचनीय स्वरूपात संग्रहित केले जाऊ शकतात.
संशोधकाच्या निरीक्षणानुसार, मायक्रोसॉफ्ट एजच्या मूळ प्रक्रियेत सातत्याने डिक्रिप्टेड क्रेडेन्शियल्स असतात, ज्यामुळे आक्रमणकर्त्याला पुरेशी सिस्टीम विशेषाधिकार प्राप्त झाल्यास ते काढण्यासाठी संभाव्य लक्ष्य बनते. सामायिक किंवा बहु-वापरकर्ता प्रणाली चालवणाऱ्या संस्था विशेषतः प्रभावित होऊ शकतात, कारण प्रशासकीय विशेषाधिकारांसह तडजोड केलेले खाते एकाधिक सक्रिय सत्रांमधील डेटामध्ये प्रवेश करू शकते.
जरी हे तंत्र स्वतःहून रिमोट शोषणाचे प्रतिनिधित्व करत नसले तरी, आक्रमणकर्त्याने आधीच सिस्टममध्ये उन्नत प्रवेश केलेल्या परिस्थितींमध्ये ते प्रासंगिक होऊ शकते. अशा परिस्थितीत, मेमरी-डंपिंग तंत्र जसे की सामान्य प्रशासकीय साधने वापरणे संभाव्यपणे संचयित लॉगिन माहिती उघड करू शकते.
Microsoft Edge तुमचे सर्व जतन केलेले पासवर्ड क्लिअर टेक्स्टमध्ये मेमरीमध्ये लोड करते — तुम्ही ते वापरत नसतानाही. pic.twitter.com/ci0ZLEYFLB
— टॉम जोरान सॉन्स्टेबायसेटर रॉनिंग (@L1v1ng0ffTh3L4N) 4 मे 2026
विशेष म्हणजे, चाचणी दरम्यान ही समस्या क्रोमियम-आधारित ब्राउझरमधील एजसाठी विशिष्ट असल्याचे दिसते, संशोधकाने नोंदवले की Google Chrome आणि Brave सारखे पर्याय समान वर्तन प्रदर्शित करत नाहीत. नंतरचे क्रेडेन्शियल्स कायमस्वरूपी मेमरीमध्ये संग्रहित करण्याऐवजी आवश्यक असेल तेव्हाच डिक्रिप्ट करून ते अधिक चांगले करतात. तथापि, आम्ही अलीकडे कव्हर केल्याप्रमाणे Chrome निर्दोष आहे असे म्हणायचे नाही फिंगरप्रिटिंग संरक्षणज्याची Google च्या ब्राउझरमध्ये कमतरता आहे.
विचित्रपणे, कदाचित, जेव्हा संशोधकाने या समस्येबद्दल कंपनीला माहिती देण्याचा प्रयत्न केला तेव्हा मायक्रोसॉफ्टने या वर्तनाचे “डिझाइननुसार” वर्गीकरण केले आहे. मायक्रोसॉफ्टने त्यापलीकडे काहीही सांगितलेले दिसत नाही.
टीपबद्दल धन्यवाद, आर्येह गोरेत्स्की!!!
