Microsoft akhirnya memutuskan untuk memperbarui peramban (browser) Edge guna menghentikan kebiasaan sistem yang memuat kata sandi tersimpan ke dalam memori proses dalam bentuk teks jelas (clear text) saat aplikasi pertama kali dijalankan. Langkah ini diambil setelah sebelumnya Microsoft sempat mengeklaim bahwa perilaku tersebut adalah bagian dari fitur yang sengaja dirancang (by design).
Awal Mula Penemuan Celah Keamanan
Masalah ini pertama kali diungkap pada 4 Mei 2026 oleh seorang peneliti keamanan bernama Tom Jøran Sønstebyseter Rønning.
- Temuan Peneliti: Rønning mendemonstrasikan bahwa seluruh kredensial yang tersimpan di dalam pengelola kata sandi (password manager) bawaan Edge akan didekripsi secara otomatis saat browser dibuka, lalu disimpan di dalam memori meskipun sedang tidak digunakan.
- Alat Bukti Konsep (PoC): Peneliti tersebut merilis sebuah perangkat lunak proof-of-concept yang membuktikan bahwa penyerang dengan hak akses Administrator dapat dengan mudah menyedot (dump) kata sandi dari proses Edge milik pengguna lain di sistem yang sama.
- Perbandingan dengan Kompetitor: Rønning menambahkan bahwa Edge adalah satu-satunya peramban berbasis Chromium yang berperilaku seberbahaya ini. Google Chrome, sebagai sesama basis Chromium, memiliki desain pertahanan memori yang jauh lebih ketat sehingga sangat sulit bagi penyerang untuk mengekstrak kata sandi hanya dengan membaca memori proses.
Alasan Perubahan Sikap Microsoft
Pada awalnya, Microsoft menolak untuk memperbaiki celah ini dengan dalih bahwa skenario serangan tersebut berada di luar model ancaman (threat model) standar mereka—di mana model tersebut mengecualikan situasi ketika penyerang sudah berhasil menguasai hak akses administratif perangkat.
Namun, Gareth Evans selaku Microsoft Edge Security Lead menyatakan bahwa melalui komitmen perusahaan pada Secure Future Initiative (SFI) serta masukan dari para pengguna, mereka kini mengambil sudut pandang yang lebih luas. Microsoft menerapkan prinsip Defense-in-Depth (pertahanan berlapis) untuk meminimalkan paparan data sensitif di dalam memori, sekalipun pada skenario di mana sistem telah disusupi secara lokal.
Jadwal Peluncuran Perbaikan
Pembaruan keamanan kritis ini dipastikan akan mendarat di seluruh versi Edge yang didukung:
- Status Saat Ini: Perbaikan sudah aktif dan dapat diuji coba pada Edge saluran Canary.
- Rilis Stabil: Fitur pencegahan ini akan disertakan secara otomatis pada pembaruan massal berikutnya untuk seluruh pengguna Edge (pada Build 148 ke atas), termasuk saluran Extended Stable yang biasa digunakan oleh pelanggan enterprise.