Microsoft vừa xác nhận sẽ thay đổi cách trình duyệt Edge xử lý mật khẩu khi khởi động, sau khi một nhà nghiên cứu bảo mật phát hiện Edge đang giải mã toàn bộ mật khẩu đã lưu và giữ chúng ở dạng plaintext trong bộ nhớ RAM — hành vi không xuất hiện ở bất kỳ trình duyệt Chromium nào khác. Thay đổi sẽ có hiệu lực từ phiên bản 148, hiện đã có mặt trên kênh Canary.
Edge đang làm gì khác so với Chrome và các trình duyệt Chromium khác?
Nhà nghiên cứu bảo mật Tom Jøran Sønstebyseter Rønning là người đầu tiên công bố phát hiện này. Theo đó, ngay khi khởi động, Edge sẽ tự động giải mã toàn bộ thông tin đăng nhập đã lưu và duy trì chúng ở dạng văn bản thô (plaintext) trong bộ nhớ — kể cả khi người dùng chưa truy cập bất kỳ trang web nào hay yêu cầu xem mật khẩu.
Để kiểm chứng, Rønning đã thực hiện so sánh trực tiếp trên nhiều trình duyệt: Google Chrome, Brave, Vivaldi, Opera và Microsoft Edge. Kết quả cho thấy chỉ có Edge có hành vi này. Rob VandenBrink từ SANS Internet Storm Center cũng tái hiện thành công vấn đề bằng cách dump bộ nhớ trong khi Edge đang chạy.
| Trình duyệt | Hành vi khi khởi động | Thời điểm giải mã mật khẩu |
|---|---|---|
| Microsoft Edge | Giải mã toàn bộ, lưu vào RAM | Ngay khi khởi động (tất cả mật khẩu) |
| Google Chrome | Chỉ giải mã khi cần | Khi người dùng yêu cầu xem mật khẩu cụ thể |
Đáng chú ý, giao diện của Edge vẫn hiển thị hộp thoại xác thực danh tính trước khi cho phép xem mật khẩu — tạo cảm giác bảo mật — nhưng thực tế toàn bộ mật khẩu đã ở dạng plaintext trong bộ nhớ từ trước đó rất lâu.
Microsoft thừa nhận "có thể cải thiện" dù khẳng định không có rủi ro
Phản ứng ban đầu của Microsoft khá bất ngờ: công ty gọi đây là "tính năng hoạt động đúng như thiết kế" (expected feature), đồng thời lập luận rằng để khai thác lỗ hổng này, kẻ tấn công cần phải đã kiểm soát được thiết bị của nạn nhân từ trước.
Tuy nhiên, trong bài đăng thông báo thay đổi, Microsoft vẫn thừa nhận:
"Dựa trên các tiêu chuẩn hiện hành, hành vi này nằm trong mô hình mối đe dọa đã được xác định — rủi ro chỉ phát sinh khi kẻ tấn công đã xâm phạm thiết bị. Dù vậy, chúng tôi nhận thấy vẫn còn dư địa để cải thiện và bài viết này giải thích những gì chúng tôi sẽ thay đổi."
Lập trường này tạo ra một nghịch lý khó giải thích: nếu không có rủi ro, tại sao lại vội vàng thay đổi? Câu trả lời thực tế có lẽ nằm ở áp lực từ cộng đồng bảo mật và người dùng sau khi thông tin được công bố rộng rãi.
Phiên bản 148 thay đổi những gì — và lộ trình bảo mật rộng hơn
Từ Edge 148, trình duyệt sẽ không còn tải toàn bộ mật khẩu vào bộ nhớ khi khởi động. Thay đổi này đã được kích hoạt trên kênh Canary và sẽ sớm được triển khai đến toàn bộ người dùng phiên bản Stable.
Microsoft định vị đây là một phần trong chiến lược Secure Future Initiative — không phải bản vá đơn lẻ. Cùng với thay đổi về xử lý mật khẩu, Edge 148 còn bao gồm:
- Vá lỗ hổng CVE-2026-2441: lỗ hổng thực thi mã từ xa (RCE) có nguồn gốc từ Chromium, đã bị khai thác trong thực tế
- Loại bỏ tính năng Custom Primary Password: từ ngày 4/6/2026, người dùng hiện tại sẽ được tự động chuyển sang xác thực bằng thiết bị (Device Authentication, bao gồm Windows Hello)
Hướng đi rõ ràng là Microsoft muốn gắn bảo mật mật khẩu trong Edge chặt hơn với xác thực cấp hệ điều hành, thay vì dựa vào lớp bảo vệ riêng của trình duyệt.
Người dùng cần làm gì ngay bây giờ?
Với phần lớn người dùng thông thường, mức độ khẩn cấp không cao — Microsoft nhấn mạnh rằng khai thác lỗ hổng này đòi hỏi thiết bị đã bị xâm phạm từ trước. Tuy nhiên, với những ai sử dụng Edge trên máy tính công việc, máy tính dùng chung, hoặc lưu trữ thông tin đăng nhập quan trọng, một số bước phòng ngừa đáng cân nhắc:
- Cập nhật Edge lên phiên bản 148 ngay khi bản Stable được phát hành
- Kích hoạt xác thực hai yếu tố (2FA) hoặc passkey cho các tài khoản quan trọng như email, ngân hàng, mạng xã hội
- Cân nhắc chuyển sang trình duyệt mật khẩu chuyên dụng như Bitwarden, 1Password thay vì dựa hoàn toàn vào tính năng lưu mật khẩu tích hợp của trình duyệt
- Nếu có dấu hiệu thiết bị từng bị nhiễm mã độc hoặc truy cập trái phép, nên đổi mật khẩu các tài khoản ưu tiên cao
Đối với người dùng tại Việt Nam, đặc biệt trong môi trường doanh nghiệp sử dụng hệ sinh thái Microsoft 365, việc theo dõi lịch triển khai Edge 148 qua kênh Stable và kết hợp với Windows Hello hoặc các giải pháp xác thực đa yếu tố là hướng đi phù hợp nhất trong thời điểm này.
