Microsoft sagt, Edge-Passwörter im RAM seien erwartetes Verhalten

Ein Sicherheitsbefund mit vertrauten Zielkonflikten

Microsoft verteidigt ein Browserverhalten, das erneut unter die Lupe genommen wird: Gespeicherte Passwörter, die in Edge verwaltet werden, können im RAM im Klartext vorliegen. Dem bereitgestellten Quelltext zufolge zeigte der Sicherheitsforscher Tom Jøran Sønstebyseter Rønning, dass der Browser, wenn Nutzer Microsoft Password Manager in Edge verwenden, Anmeldedaten beim Start entschlüsselt und im Prozessspeicher hält, selbst wenn der Nutzer während dieser Sitzung die mit diesen Anmeldedaten verknüpften Websites nie besucht.

Microsofts Antwort, ebenfalls im Quellmaterial enthalten, lautet, dass dies erwartetes Verhalten und kein Softwarefehler sei. Das Unternehmen erklärte gegenüber ZDNET, der Browserzugriff auf Passwortdaten im Speicher sei Teil davon, wie Anwendungen Nutzern helfen, sich schnell und sicher anzumelden. Außerdem hieß es, ein Missbrauch dieser Situation würde voraussetzen, dass das Gerät bereits kompromittiert sei.

Genau diese Kombination macht die Geschichte bedeutsam. Das Problem wird nicht als versteckter Fehler mit einem ausstehenden Patch beschrieben. Stattdessen fällt es in die unbequeme Kategorie akzeptierter Designkompromisse, bei denen Leistung und Komfort gegen die Folgen eines erfolgreichen Kompromisses abgewogen werden.

Was der Forscher zeigte

Rønning veröffentlichte auf GitHub Code namens EdgeSavedPasswordsDumper, um das Verhalten zu demonstrieren. Dem Quelltext zufolge zeigt das Werkzeug, dass Anmeldedaten von Nutzern des Microsoft Password Manager in Edge im Klartext im Speicher des Browserprozesses gefunden werden können. Das ist wichtig, weil es die Debatte präzisiert. Es geht nicht darum, ob Passwörter im Ruhezustand in den Speichersystemen des Produkts verschlüsselt sind. Es geht darum, was geschieht, nachdem der Browser sie bereits für die aktive Nutzung entschlüsselt hat.

Der Forscher hob auch einen scheinbaren Widerspruch in der Nutzererfahrung hervor. Edge kann eine erneute Authentifizierung verlangen, bevor Passwörter in der Password-Manager-Oberfläche angezeigt werden, während der Browserprozess dieselben Passwörter bereits im Klartext im Speicher haben kann. Diese Lücke zwischen Oberflächenschutz und Laufzeitexposition ist der Teil, der technisch versierte Nutzer besonders beunruhigen dürfte.

Gleichzeitig stützt der Quelltext auch Microsofts grundlegenden Punkt, dass es sich nicht um einen leicht ausnutzbaren Fernangriff handelt. Das beschriebene Szenario setzt voraus, dass ein Angreifer bereits ein Benutzerkonto mit Administratorrechten kompromittiert hat. Das macht das Problem nicht irrelevant, ordnet es aber weiter hinten in einer Angriffskette ein, nicht am ersten Einstiegspunkt.

News

Ein kurzer Bericht im bereitgestellten Quellentext sagt, dass iOS 27 Nutzern die Wahl zwischen Gemini, Claude und anderen Modellen für KI-Funktionen ermöglichen wird, was auf einen offeneren Ansatz für KI-Erlebnisse auf dem Gerät und in der Cloud hindeutet.

DT Editorial AI·May 6, 2026·via 9to5mac.com

News

Apple hat drei Verbesserungen hervorgehoben, die mit iOS 26.5 auf das iPhone kommen, ein Signal dafür, dass das Timing von Software-Funktionen weiter unter Beobachtung steht, während der breitere Siri-Rollout des Unternehmens weiterhin Aufmerksamkeit erregt.

DT Editorial AI·May 6, 2026·via 9to5mac.com

Warum diese Unterscheidung wichtig ist

Sicherheitsfragen hängen oft davon ab, an welcher Stelle eine Schutzmaßnahme greifen soll. Wenn ein System gegen Angriffe aus der Ferne schützen soll, können Schutzmechanismen im Ruhezustand und Prüfungen in der Benutzeroberfläche für viele gängige Bedrohungsmodelle ausreichen. Geht es um Widerstandsfähigkeit nach einem Kompromiss, ändern sich die Maßstäbe. Sobald ein Angreifer lokalen Zugriff hat, wird alles, was im Speicher gehalten wird, wertvoller und verwundbarer.

Deshalb mag Microsofts Einordnung als „Feature, not bug“ technisch schlüssig sein und dennoch Nutzer beunruhigen. Aus Produktsicht kann das Vorladen von Anmeldedaten die Reaktionsfähigkeit verbessern und Reibung verringern. Aus Sicherheitssicht erhöht es die Menge an sensiblen Daten, die einem Angreifer zur Verfügung stehen, der bereits eine andere Grenze überschritten hat.

Keine Seite dieser Debatte ist trivial. Moderne Software verlässt sich häufig auf im Speicher befindliche Geheimnisse, um reibungslos zu funktionieren. Gleichzeitig ist ein kompromittiertes Endgerät kein hypothetisches Risiko. Wenn ein Browser Anmeldedaten für viele Konten zentral verwaltet, verdient jede Designentscheidung, die die in-memory Exposition erweitert, besondere Prüfung.

Im Quelltext belegte Kernpunkte

Edge speichert gesicherte Passwörter bei Nutzung als Passwortmanager im RAM im Klartext.
Microsoft sagt, das sei erwartetes Verhalten und nur relevant, wenn das Gerät bereits kompromittiert ist.
Die Demonstration des Forschers konzentriert sich auf den Zugriff auf den Browserverlaufsspeicher nach einem Kompromiss.

Eine breitere Browser-Sicherheitsdebatte

Die Geschichte spiegelt auch einen größeren Wandel darin wider, wie Browser bewertet werden. Sie sind längst nicht mehr nur Werkzeuge zum Rendern von Seiten. Sie sind Identitäts-Hubs, Zahlungshilfen, Synchronisations-Clients und Passwortmanager. Das bedeutet, dass nicht nur ihre sichtbaren Einstellungen, sondern auch ihr Speicherverhalten für sicherheitsbewusste Nutzer und Unternehmensverteidiger zunehmend wichtig werden.

Für manche reicht Microsofts Erklärung aus. Wenn das Gerät ohnehin kompromittiert ist, könnten sie argumentieren, seien viele andere Schutzmechanismen bereits ausgefallen. Für andere ist genau das der Punkt: Software, der sensible Anmeldedaten anvertraut werden, sollte die nützlichen Daten minimieren, die im kompromittierten Zustand offengelegt bleiben.

Der Quelltext belegt nicht, dass Microsoft eine Änderung plant, und er zeigt auch keine Belege dafür, dass das Verhalten in großem Umfang aktiv ausgenutzt wird. Er legt aber eine reale Designspannung offen, die vermutlich nicht verschwindet. Passwortmanager in gängigen Browsern versprechen Komfort, indem sie die Zahl der Schritte zwischen Nutzer und Anmeldung verringern. Die Kosten dieses Komforts werden oft in einer Komplexität bezahlt, die erst sichtbar wird, wenn ein Forscher unter die Oberfläche blickt.

Für Developments Today liegt die Bedeutung weniger in einer reißerischen Schlagzeile über „Klartextpasswörter“ als in der Produktarchitektur. Edge muss eine Entscheidung verteidigen, die in manchen technischen Kontexten normal sein mag, sich Nutzern mit höheren Erwartungen an die Trennung gespeicherter Anmeldedaten aber schwer erklären lässt. Im Kern geht es darum, wie viel Offenlegung nach einem Kompromiss akzeptabel ist, und das ist eine Frage, mit der sich die Browser-Branche weiter auseinandersetzen muss.

Dieser Artikel basiert auf einer Berichterstattung von ZDNET. Den Originalartikel lesen.

Microsoft verteidigt Edge-Passwörter im RAM, doch das Design wirft neue Fragen auf

Ein Sicherheitsbefund mit vertrauten Zielkonflikten

Was der Forscher zeigte

Related Articles

Keep Reading

Apple gewinnt einen Teil des EU-Markenstreits um ein zitrusartiges Logo

Warum diese Unterscheidung wichtig ist

Im Quelltext belegte Kernpunkte

Eine breitere Browser-Sicherheitsdebatte

Disney+ drängt in Richtung Super-App und signalisiert die nächste Plattformschlacht im Streaming

Comments (0)

Bericht: iOS 27 könnte Nutzern erlauben, externe KI-Modelle für Apple-Funktionen auszuwählen

Apple hebt drei iPhone-Verbesserungen in iOS 26.5 hervor, während die Fragen rund um Siri anhalten