Microsoft beendet Password-Preload im Edge-Browser 148.0.3967.70

Veröffentlicht am 17. Mai 2026 von Günter Born

EdgeEs hat etwas gedauert, nachdem bekannt geworden ist, dass der Microsoft Edge-Browser Passwörter aus dem Passwort-Tresor im Klartext im Arbeitsspeicher vorhält. Mit dem Edge 148.0.3967.70 wird diese Praxis eingestellt.

Rückblick auf das Edge-Passwort-Thema

Vorige Woche war öffentlich geworden, dass der Microsoft Edge Passwörter im Klartext im Arbeitsspeicher ablegt. Ich hatte im Blog-Beitrag Daten-Fails: Firefox druckt Passwörter, Edge speichert Klartext-Passwörter im Speicher, RDP-Screen-Fragmente rekonstruierbar darüber berichtet. Tom Jøran Sønstebyseter Rønning hatte in nachfolgendem Tweet ein Video mit der Aufnahme des Fensters einer Windows Eingabeaufforderung eingebettet, wo das Auslesen der Kennwörter im Klartext demonstriert wird.

Edge-Fail: Kennwörter im Klartext im Memory

Der Sicherheitsforscher erklärte in weiteren Tweet, das vom Nutzer im Microsoft Edge gespeicherte Passwörter vom Browser als Anmeldedaten entschlüsselt und im Klartext im Prozessspeicher vorgehalten werden. Dies geschieht auch dann, wenn der Benutzer niemals eine Website besucht, deren Anmeldedaten im Edge bekannt sind, aber aktuell in einer Sitzung nicht verwendet werden. Ich hatte im Beitrag angemerkt, dass der Google Chromium-Browser einen anderen Mechanismus verwendet, wo so etwas nicht vorkommt.

Microsoft reagiert auf die Kritik

Ein Blog-Leser wies bereits in diesem Kommentar darauf hin, dass Microsoft an obigem Sachverhalt etwas ändern wollte. Es gibt dazu von Microsoft den GitHub-Beitrag Saved passwords in Edge memory: what we're changing and why, der vom 14. Mai 2026 datiert. Dort schreibt Microsoft, dass man das oben erwähnte Problem nach dessen Meldung "umgehend angegangen sei".

Der Browser werde Passwörter nicht mehr beim Start in den Arbeitsspeicher laden. Diese Änderung werde "im Rahmen von Microsofts mehrschichtiger Sicherheitsstrategie" für alle unterstützten Versionen von Edge (Stable, Beta, Dev, Canary und den Extended Stable-Kanal, den unsere Unternehmenskunden nutzen) eingeführt. Man gebe der Bereitstellung "höchste Priorität", und die Änderung sei ab sofort in Edge Canary verfügbar. Sie werde im nächsten Update für alle Edge-Versionen ab Build 148 enthalten sein. Wer den Edge Passwort-Manager verwendet, müsse nichts unternehmen, da die Korrektur über den normalen Update-Kanal ausgeliefert werde.

Der Edge-Browser 148.0.3967.70 enthält die Korrektur

In diesem Kommentar weist ein weiterer Blog-Leser darauf hin, dass die Kollegen von deskmodder.de in diesem Artikel auf das Edge-Update vom 15. Mai 2026 auf die Version 148.0.3967.70 nicht nur 72 Sicherheitslücken schließt. Auch das Passwort-Preload wird laut Changelog ab dieser Version eingestellt. Passwörter werden also nicht mehr im Klartext in den Speicher geladen.

Dieser Beitrag wurde unter Edge, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen für den Permalink.

Ein Kommentar zu Microsoft beendet Password-Preload im Edge-Browser 148.0.3967.70

  1. JohnRipper sagt:
    17. Mai 2026 um 00:10 Uhr

    Und ich dachte es wäre „as desgined"?

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.