we are developers

iMaster Developers

iMaster DevelopersPowered by:

Marketing Tech

11 mai, 2026

Edge expõe senhas na memória RAM e a Microsoft diz que está tudo certo

Redação iMasters

Redação iMasters
Publicidade

Para começar, o pesquisador norueguês Tom Jøran Sønstebyseter Rønning identificou que o Microsoft Edge carrega todas as senhas salvas diretamente na memória RAM. Contudo, o problema não está em carregar. O problema está em como ele carrega: sem qualquer tipo de criptografia, em texto puro, prontas para serem lidas.

Consequentemente, qualquer processo malicioso com acesso à memória do sistema pode simplesmente varrer esse espaço e extrair as credenciais. Sem quebra-cabeças. Sem chaves. Sem nada.

Como o gerenciador de senhas do Edge realmente funciona por dentro

Antes de mais nada, vale entender o cenário. Assim como Chrome, Firefox e Brave, o Edge oferece um gerenciador de senhas nativo. Você salva, ele preenche. Simples assim.

No entanto, a forma como esse preenchimento acontece varia bastante entre os navegadores. Enquanto algumas soluções mantêm as credenciais criptografadas até o exato momento do uso, o Edge adota uma postura diferente. Ou seja, ele descriptografa tudo de uma vez assim que é aberto e mantém esse conteúdo na memória durante toda a sessão.

Em outras palavras, basta abrir o navegador para que suas senhas fiquem expostas em RAM. E permanecem lá até você fechar o processo.

Por consequência, qualquer um dos seguintes vetores pode comprometer essas informações:

  • Malwares com privilégios de leitura de memória
  • Ferramentas legítimas de debug usadas de forma maliciosa
  • Dumps de memória capturados em ataques laterais
  • Exploits que escalam privilégios localmente

A resposta da Microsoft Edge que dividiu a comunidade dev

Seguindo o protocolo padrão de divulgação responsável, Rønning notificou a Microsoft antes de tornar a descoberta pública. Porém, o que veio depois surpreendeu até os mais céticos.

Em comunicado enviado ao Windows Central, a empresa afirmou:

“Segurança e proteção são fundamentais para o Microsoft Edge. O acesso aos dados do navegador, conforme descrito no cenário relatado, exigiria que o dispositivo já estivesse comprometido. Os navegadores acessam os dados de senha na memória para ajudar os usuários a fazer login de forma rápida e segura, esse é um recurso esperado do aplicativo.”

Traduzindo: não é bug, é feature.

Adicionalmente, a empresa recomendou que os usuários mantenham antivírus atualizados e instalem patches de segurança. Em resumo, a responsabilidade fica para o usuário final.

Por que essa postura preocupa quem trabalha com segurança

À primeira vista, o argumento da Microsoft parece coerente. Afinal, se um atacante já está dentro do sistema, ele provavelmente pode causar outros estragos. Entretanto, essa lógica esconde um problema sério de modelo de ameaça.

Como o próprio Rønning destacou:

“É verdade, até certo ponto, que um invasor com controle total do sistema pode causar grandes estragos. Mas isso não significa que se deva facilitar as coisas para ele.”

E aqui está o ponto que todo dev precisa entender. Defesa em profundidade não é luxo, é princípio básico. Portanto, mesmo quando uma camada cai, outras devem segurar o ataque. Manter senhas em texto simples na memória elimina essa segunda camada por completo.

Além do mais, nem todo comprometimento exige acesso root. Existem cenários intermediários onde um processo malicioso consegue ler a memória de outro processo sem necessariamente dominar a máquina inteira.

O que isso significa para o seu fluxo de desenvolvimento (Microsoft Edge)

Se você desenvolve aplicações que dependem de autenticação via browser ou se preocupa com a segurança do ambiente onde seu time trabalha, alguns pontos merecem atenção imediata.

Primeiramente, considere alternativas de gerenciamento de credenciais. Soluções como Bitwarden, 1Password e KeePassXC adotam abordagens mais conservadoras, mantendo o vault criptografado mesmo durante o uso ativo.

Em segundo lugar, revise a política de senhas do seu time. Se desenvolvedores usam o Edge para acessar painéis administrativos, repositórios privados ou consoles de cloud, essas credenciais estão potencialmente expostas.

Por fim, vale lembrar que o Chrome também já foi alvo de críticas semelhantes no passado. Ou seja, esse não é um problema exclusivo da Microsoft. Contudo, a diferença está na resposta: enquanto outros fornecedores ao menos discutem mitigações, a Microsoft simplesmente fechou a porta.

Edge continua sendo viável para uso corporativo?

Depende do seu modelo de ameaça. Para uso casual em máquinas pessoais com baixo perfil de risco, a exposição é provavelmente aceitável. Por outro lado, em ambientes corporativos com dados sensíveis, a história muda completamente.

De fato, equipes de segurança que adotam frameworks como Zero Trust dificilmente vão tolerar credenciais em texto simples na RAM. Inclusive, esse tipo de comportamento contradiz diretamente princípios como o de menor privilégio e o de assumir comprometimento.

Em suma, a recomendação prática é simples: trate o gerenciador de senhas do Edge como um conveniência, não como uma solução de segurança. Para credenciais críticas, use um cofre dedicado com criptografia em uso.

O recado que fica para a comunidade (Edge)

A polêmica do Edge expõe uma tensão antiga entre usabilidade e segurança. Definitivamente, manter senhas descriptografadas em memória torna o login mais rápido. Por outro lado, transforma cada sessão do navegador em um alvo gordo para malwares.

Cabe a cada dev decidir onde traçar essa linha. Porém, agora você sabe exatamente o que está em jogo quando aperta aquele inocente “Salvar senha” no Edge.

Nos acompanhe no Instagram!

Redação iMasters
Saiba mais

Redação iMasters

Matérias especiais e reportagens conduzidas internamente pela Redação iMasters. Acompanhe no Twitter @imasters e no Instagram/Threads @portalimasters