Microsoft Edge має серйозну вразливість, яка може коштувати вам всього вашого онлайн-життя

• Microsoft Edge завантажує кожен збережений пароль у пам'ять свого процесу як відкритий текст одразу після запуску програми, що створює значний ризик для безпеки даних.
• Експерти радять уникати збереження конфіденційних даних в Edge, а використовувати сторонні менеджери паролів для підвищення безпеки.

Сучасні веб-технології обіцяють користувачам високий рівень захисту особистих даних, проте реальність іноді виявляється іншою. Нещодавні дослідження виявили специфічну особливість роботи популярного браузера, яка створює потенційні ризики для безпеки інформації в цифровому середовищі.

Що не так із Microsoft Edge?

Нове дослідження у сфері цифрової безпеки виявило, що Microsoft Edge завантажує кожен збережений пароль у пам'ять свого процесу як відкритий текст одразу після запуску програми. Найбільш несподіваною для професійної спільноти стала офіційна реакція корпорації Microsoft на це повідомлення. У компанії заявили, що така поведінка програми не є помилкою, а реалізована навмисно та відповідає запланованій архітектурі, пише GBHackers.

Дивіться також Українські лікарні та операторів дронів атакують за допомогою нового віруса AgingFly

Згідно зі звітом про загрози, який випустили International Cyber Digest, браузер Edge створює значний ризик для тих, хто зберігає свої облікові дані безпосередньо в браузері. На відміну від інших сучасних аналогів, цей браузер не чекає, поки людина відвідає конкретний веб-сайт. Замість цього він розшифровує та зберігає в пам'яті абсолютно всі облікові дані, щойно додаток відкривається. Цей кеш включає паролі навіть до тих ресурсів, які користувач не планує відкривати під час поточної сесії.

Дослідник безпеки з нікнеймом @L1v1ng0ffTh3L4N у соцмережі X провів тестування всіх основних браузерів на базі Chromium і підтвердив, що Edge – єдиний, хто працює за таким принципом.

Для порівняння, Google Chrome використовує значно безпечніший підхід. Chrome розшифровує дані виключно за запитом, використовуючи технологію App-Bound Encryption, яка прив'язує криптографічні ключі до автентифікованого процесу браузера, що заважає іншим програмам викрасти їх. У Chrome паролі зберігаються в пам'яті лише під час автоматичного заповнення форм або коли власник облікового запису переглядає їх у налаштуваннях.

Чому це небезпечно?

Найбільшу небезпеку такий підхід становить у середовищах спільного використання комп'ютерів, наприклад, на термінальних серверах. Якщо зловмисник отримує права адміністратора, він може зчитати пам'ять кожного процесу, запущеного на машині.

Опубліковане відео з демонстрацією концепції підтверджує цю загрозу: скомпрометований обліковий запис адміністратора успішно викрав дані двох інших користувачів у тій самій системі. При цьому жертвам достатньо просто мати Edge запущеним у фоновому режимі, навіть якщо їхні сесії на той момент були відключені.

Користувач @L1v1ng0ffTh3L4N показав, як легко Edge видає дані: дивіться відео

Video of @L1v1ng0ffTh3L4N's tool in action.

In the published PoC video, a compromised admin account lifts stored credentials from two other logged-on (and even disconnected) users with Edge running. pic.twitter.com/1xMMMPbeP1

— International Cyber Digest (@IntCyberDigest) May 4, 2026

Ситуація виглядає ще більш суперечливою через те, що Edge все одно вимагає повторної автентифікації, наприклад, введення ПІН-коду або пароля Windows, перед тим як показати дані в інтерфейсі менеджера паролів. Проте, оскільки процес браузера вже тримає всі ці паролі у відкритому вигляді за лаштунками, такі заходи безпеки в інтерфейсі стають суто декоративними.

Цю вразливість офіційно оприлюднили 29 квітня на конференції Big Bite Of Tech представники підрозділу Palo Alto Networks Norway. Разом із доповіддю дослідник випустив інструмент на GitHub під назвою "EdgeSavedPasswordsDumper", який дозволяє командам безпеки самостійно перевірити наявність відкритих даних у пам'яті своїх систем.

Що робити користувачам?

Поки Microsoft не змінить своє ставлення до цієї архітектури, експерти радять уникати збереження конфіденційних даних безпосередньо в Edge, віддаючи перевагу стороннім менеджерам паролів. На щастя, сьогодні таких є немало.

5 найкращих менеджерів паролів у 2026 році

У 2026 році ринок менеджерів паролів вже стабілізувався: є кілька сервісів, які постійно з’являються у всіх незалежних тестах і рейтингах. Ключові критерії тут – рівень шифрування, модель "zero-knowledge", підтримка passkeys, зручність автозаповнення та кросплатформеність. Нижче – п’ять сервісів, які реально вважаються найкращими за сукупністю факторів.

1Password залишається одним із найбільш збалансованих варіантів, який видання Tom's Guide ставить на перше місце. Його часто називають "золотим стандартом" серед менеджерів паролів через поєднання безпеки, UX і додаткових функцій. Сервіс використовує власний "Secret Key" разом із майстер-паролем, підтримує passkeys і має функції на кшталт Watchtower для моніторингу витоків. Мінус – відсутність повністю безкоштовного тарифу, але для багатьох це виправдано якістю.

Bitwarden – це фактично еталон безкоштовного рішення. Він open-source, проходить регулярні аудити та пропонує майже всі ключові функції навіть без підписки: необмежене зберігання паролів, синхронізацію між пристроями та підтримку passkeys. Це один із небагатьох менеджерів, де безкоштовна версія не виглядає урізаною. Видання TechRadar поставило його на четверте місце в своєму власному рейтингу.

NordPass у 2026 році часто називають "найкращим загалом" за баланс ціни, безпеки та простоти. Він використовує сучасне шифрування XChaCha20, має дуже простий інтерфейс і активно розвиває функції – наприклад, вбудований TOTP-аутентифікатор. Це варіант для тих, хто хоче мінімум складності без втрати безпеки.

Dashlane – більш "просунутий" продукт із акцентом на додаткові сервіси. Він пропонує не лише менеджер паролів, а й VPN, моніторинг даркнету та автоматичну зміну скомпрометованих паролів. Це хороший вибір для користувачів, які хочуть комплексний захист, але він дорожчий за конкурентів, пише ProPrivacy.

Keeper – один із найсильніших варіантів у плані "чистої" безпеки, особливо для бізнесу. Він пропонує zero-trust архітектуру, гнучке управління доступом і розширені корпоративні функції. Його часто рекомендують тим, кому важлива не лише зручність, а й контроль доступу та аудит, зазначає Gartner.

Як обрати найкращий?

У підсумку картина така: якщо потрібен універсальний преміум – це 1Password або NordPass; якщо безкоштовно і максимально прозоро – Bitwarden; якщо хочете "комбайн" із додатковими функціями – Dashlane; якщо акцент на безпеці або бізнесі – Keeper.

Попри різницю між ними, всі ці сервіси працюють за однією базовою моделлю – зашифроване сховище, до якого не має доступу навіть сам провайдер, і саме це зараз є галузевим стандартом.

Які ще вразливості знаходили в Microsoft Edge?

Одна з найсерйозніших нещодавніх вразливостей – це CVE-2026-3910, яку вже активно експлуатують у реальних атаках. Вона дозволяє виконання довільного коду всередині sandbox середовища браузера через спеціально сформовану HTML-сторінку. Фактично, це означає, що зловмисник може змусити Edge виконати шкідливий код просто після відкриття сторінки, попри те, що sandbox має ізолювати такі процеси. Ризик оцінюється як критичний саме через підтверджене використання "in the wild", пише HKCERT.

Друга критична категорія – це вразливості типу out-of-bounds доступу до пам’яті у V8 (наприклад, CVE-2026-0899). Такі баги виникають у рушії JavaScript і дозволяють читати або змінювати пам’ять поза дозволеними межами. У практичному сценарії це відкриває шлях до повного компрометування браузера – включно з виконанням коду, витоком даних або навіть захопленням системи. Через високий рівень доступу, який має V8, ці вразливості традиційно вважаються одними з найнебезпечніших у Chromium-браузерах, повідомляє профільний ресурс Rapid7.

Третя важлива група – це ланцюги вразливостей 2026 року (наприклад, CVE-2026-7333 / 7334), які поєднують одразу кілька типів атак: віддалене виконання коду, витік інформації, обхід захисних механізмів і навіть відмову в обслуговуванні. Саме комбінація цих ефектів робить їх критичними, оскільки зловмисник може пройти повний цикл атаки – від проникнення через веб-сторінку до отримання контролю над даними користувача. Такі багатокомпонентні вразливості особливо небезпечні в корпоративному середовищі.

Якщо узагальнити, найсерйозніші проблеми Edge зараз – це не окремі баги, а класи вразливостей: виконання коду через браузер, помилки пам’яті в V8 та комбіновані експлойти. Саме вони дають атакуючому максимум контролю при мінімальній взаємодії з боку користувача.