Es hat etwas gedauert, nachdem bekannt geworden ist, dass der Microsoft Edge-Browser Passwörter aus dem Passwort-Tresor im Klartext im Arbeitsspeicher vorhält. Mit dem Edge 148.0.3967.70 wird diese Praxis eingestellt.
Rückblick auf das Edge-Passwort-Thema
Vorige Woche war öffentlich geworden, dass der Microsoft Edge Passwörter im Klartext im Arbeitsspeicher ablegt. Ich hatte im Blog-Beitrag Daten-Fails: Firefox druckt Passwörter, Edge speichert Klartext-Passwörter im Speicher, RDP-Screen-Fragmente rekonstruierbar darüber berichtet. Tom Jøran Sønstebyseter Rønning hatte in nachfolgendem Tweet ein Video mit der Aufnahme des Fensters einer Windows Eingabeaufforderung eingebettet, wo das Auslesen der Kennwörter im Klartext demonstriert wird.
Der Sicherheitsforscher erklärte in weiteren Tweet, das vom Nutzer im Microsoft Edge gespeicherte Passwörter vom Browser als Anmeldedaten entschlüsselt und im Klartext im Prozessspeicher vorgehalten werden. Dies geschieht auch dann, wenn der Benutzer niemals eine Website besucht, deren Anmeldedaten im Edge bekannt sind, aber aktuell in einer Sitzung nicht verwendet werden. Ich hatte im Beitrag angemerkt, dass der Google Chromium-Browser einen anderen Mechanismus verwendet, wo so etwas nicht vorkommt.
Microsoft reagiert auf die Kritik
Ein Blog-Leser wies bereits in diesem Kommentar darauf hin, dass Microsoft an obigem Sachverhalt etwas ändern wollte. Es gibt dazu von Microsoft den GitHub-Beitrag Saved passwords in Edge memory: what we're changing and why, der vom 14. Mai 2026 datiert. Dort schreibt Microsoft, dass man das oben erwähnte Problem nach dessen Meldung "umgehend angegangen sei".
Der Browser werde Passwörter nicht mehr beim Start in den Arbeitsspeicher laden. Diese Änderung werde "im Rahmen von Microsofts mehrschichtiger Sicherheitsstrategie" für alle unterstützten Versionen von Edge (Stable, Beta, Dev, Canary und den Extended Stable-Kanal, den unsere Unternehmenskunden nutzen) eingeführt. Man gebe der Bereitstellung "höchste Priorität", und die Änderung sei ab sofort in Edge Canary verfügbar. Sie werde im nächsten Update für alle Edge-Versionen ab Build 148 enthalten sein. Wer den Edge Passwort-Manager verwendet, müsse nichts unternehmen, da die Korrektur über den normalen Update-Kanal ausgeliefert werde.
Der Edge-Browser 148.0.3967.70 enthält die Korrektur
In diesem Kommentar weist ein weiterer Blog-Leser darauf hin, dass die Kollegen von deskmodder.de in diesem Artikel auf das Edge-Update vom 15. Mai 2026 auf die Version 148.0.3967.70 nicht nur 72 Sicherheitslücken schließt. Auch das Passwort-Preload wird laut Changelog ab dieser Version eingestellt. Passwörter werden also nicht mehr im Klartext in den Speicher geladen.
MVP: 2013 – 2016
Und ich dachte es wäre „as desgined"?
Stimmt auch. Nur nicht von uns Cash Cows verstanden …
Und wo ist jetzt die Warnung an alle Edge Nutzer, dass sie besser ihre Passwörter ändern. Because. You know.
Wie ist das denn eigentlich rechtlich. Wenn Nutzerinnen jez Konten abhanden gekommen sind und die nicht reagieren, weil sie nichts davon wissen?
Ist durch die eulas sicherlich geklärt: ist dein Problem
Sobald man aber ein Passwort verwendet, steht es weiterhin unverschlüsselt im RAM, bis Edge beendet wird. Vielleicht sogar alle, das habe ich aber gerade nicht getestet, hab nur eins im PW-Manager angelegt und dann einen Browserneustart gemacht.
OK, also jetzt wo die Info bekannt geworden ist, hat sich Microsoft entschlossen, die Praxis einzustellen.
Sehr beruhigend.
Es gibt gute Gründe den Edge NICHT zu benutzen ;) Das ist / war einer davon…
Sind auch ältere Edge Versionen davon betroffen?