Gravierende Sicherheitslücke in Microsoft Edge entdeckt

Ein Sicherheitsforscher aus Norwegen hat eine gravierende Schwachstelle in Microsoft Edge aufgedeckt, die es Angreifern ermöglicht, gespeicherte Passwörter im Klartext abzurufen. Diese Sicherheitslücke betrifft den Passwort-Manager des Browsers, der Passwörter ohne jegliche Verschlüsselung im Arbeitsspeicher speichert. Laut dem Forscher Tom Jøran Sønstebyseter Rønning können Angreifer die Passwörter abfangen, selbst wenn diese in der aktuellen Sitzung nicht verwendet werden. Rønning demonstrierte die Schwachstelle in einem Video, das am 4. Mai 2026 veröffentlicht wurde.

In diesem Video zeigt er, wie Microsoft Edge alle gespeicherten Passwörter in den Arbeitsspeicher lädt, ohne sie zu verschlüsseln. Dies stellt ein erhebliches Sicherheitsrisiko dar, da Angreifer durch das Auslesen des Arbeitsspeichers Zugriff auf diese sensiblen Daten erhalten können. Im Gegensatz zu anderen Passwort-Managern, die in der Regel eine Ende-zu-Ende-Verschlüsselung verwenden, um Passwörter sicher zu speichern, geht Microsoft Edge einen anderen Weg. Während Edge eine Authentifizierung verlangt, um auf die Passwörter zuzugreifen, ist dies nicht ausreichend, wenn die Passwörter unverschlüsselt im Speicher liegen. Die Sicherheitslücke wurde von Rønning auch an Microsoft gemeldet.

Berichten zufolge erhielt er von dem Unternehmen die Rückmeldung, dass die Speicherung der Passwörter als Klartext kein Fehler, sondern eine bewusste Designentscheidung sei. Der genaue Grund für diese Entscheidung bleibt unklar, was die Bedenken hinsichtlich der Sicherheit weiter verstärkt. Um die Nutzer zu warnen, plant Rønning, ein eigenes Tool auf GitHub zu veröffentlichen. Dieses Tool soll es Nutzern ermöglichen, zu überprüfen, ob ihre Passwörter im Klartext gespeichert werden. Er empfiehlt, die Passwörter im Microsoft Edge Passwort-Manager zu löschen und auf einen separaten, sicheren Passwort-Manager umzusteigen.

Die Sicherheitslücke könnte potenziell Millionen von Nutzern betreffen, die ihre Passwörter im Browser gespeichert haben. Microsoft hat bisher keine offizielle Stellungnahme zu den möglichen Auswirkungen oder zu geplanten Maßnahmen veröffentlicht. Experten raten dazu, die Nutzung des Passwort-Managers von Edge vorübergehend auszusetzen, bis eine Lösung bereitgestellt wird. Die Entdeckung dieser Schwachstelle wirft Fragen zur allgemeinen Sicherheit von Browsern auf, insbesondere in Bezug auf die Speicherung sensibler Daten. Nutzer sollten sich bewusst sein, dass die Verwendung von Browser-Passwort-Managern Risiken birgt, die durch die Wahl eines spezialisierten Passwort-Managers möglicherweise verringert werden können.

Sicherheitslücke könnte auch Auswirkungen auf die Nutzung von Microsoft Edge in Unternehmen haben, wo der Schutz sensibler Daten von größter Bedeutung ist. Unternehmen sollten ihre Richtlinien zur Passwortverwaltung überprüfen und gegebenenfalls Anpassungen vornehmen, um die Sicherheit ihrer Daten zu gewährleisten. Die Schwachstelle in Microsoft Edge könnte als CVE-2026-XXXX klassifiziert werden, wobei die genaue CVE-Nummer noch nicht veröffentlicht wurde. Sicherheitsforscher und IT-Experten beobachten die Situation genau, um weitere Informationen über die Auswirkungen und mögliche Lösungen zu erhalten.

Die Entdeckung dieser Sicherheitslücke kommt zu einem Zeitpunkt, an dem Cyberangriffe und Datenlecks zunehmend an der Tagesordnung sind. Nutzer sind aufgefordert, ihre Sicherheitspraktiken zu überdenken und sicherzustellen, dass ihre Passwörter in einer sicheren Umgebung gespeichert werden. Rønning hat betont, dass die Sicherheit der Nutzer an erster Stelle stehen sollte und dass es wichtig ist, über solche Schwachstellen informiert zu sein. "Es ist entscheidend, dass Nutzer verstehen, wie ihre Daten gespeichert werden und welche Risiken damit verbunden sind", sagte er in einem Interview.