Microsoft Edge เวอร์ชัน 148 หยุดโหลดรหัสผ่านทั้งหมดเป็น Plaintext ตั้งแต่เปิดเบราว์เซอร์

Microsoft ประกาศปรับเปลี่ยนพฤติกรรมของ Edge ที่โหลดรหัสผ่านที่บันทึกไว้ทั้งหมดในรูปแบบ Plaintext ลงในหน่วยความจำทันทีที่เปิดเบราว์เซอร์ โดยการแก้ไขนี้จะมีผลใน Edge เวอร์ชัน 148 ซึ่งถือเป็นพฤติกรรมที่พบเฉพาะใน Edge เท่านั้นในบรรดาเบราว์เซอร์บน Chromium ทั้งหมด

นักวิจัยด้านความปลอดภัยเปิดโปงพฤติกรรมที่ซ่อนอยู่

Tom Jøran Sønstebyseter Rønning นักวิจัยด้านความปลอดภัย เป็นผู้ค้นพบและเปิดเผยว่า Microsoft Edge จะถอดรหัสข้อมูล Credential ที่บันทึกไว้ทั้งหมดและเก็บไว้ในหน่วยความจำตั้งแต่ช่วงเริ่มต้นการทำงาน แม้ผู้ใช้จะยังไม่ได้เรียกดูรหัสผ่านใดก็ตาม

เมื่อเปรียบเทียบกับ Google Chrome ซึ่งใช้ฐาน Chromium เช่นเดียวกัน พบความแตกต่างที่ชัดเจนดังนี้

Rob VandenBrink จาก SANS Internet Storm Center ยังได้ยืนยันปัญหานี้โดยการทดสอบ Memory Dump ขณะที่ Edge ทำงานอยู่ และพบรหัสผ่านทั้งหมดในรูปแบบ Plaintext จริง นอกจากนี้ การทดสอบครอบคลุมเบราว์เซอร์อื่น ได้แก่ Chrome, Brave, Vivaldi และ Opera ซึ่งไม่พบพฤติกรรมดังกล่าวในเบราว์เซอร์ใดเลย นอกจาก Edge

Microsoft ยืนยัน "ไม่มีความเสี่ยง" แต่ก็ยังแก้ไขอยู่ดี

ปฏิกิริยาของ Microsoft ต่อการเปิดเผยนี้ค่อนข้างน่าสังเกต บริษัทออกแถลงการณ์ในทันทีว่าพฤติกรรมดังกล่าวเป็น "ฟีเจอร์ที่ออกแบบมาตามปกติ (expected feature)" และชี้แจงว่าการโจมตีผ่านช่องทางนี้ต้องอาศัยการที่อุปกรณ์ถูกบุกรุกไปแล้วก่อนหน้า

ในบล็อกประกาศการเปลี่ยนแปลง Microsoft ระบุว่า

"ตามมาตรฐานที่มีอยู่ พฤติกรรมนี้อยู่ในขอบเขตของ Threat Model ที่คาดการณ์ไว้ เนื่องจากความเสี่ยงเกิดขึ้นได้ก็ต่อเมื่อผู้โจมตีได้บุกรุกอุปกรณ์ไปแล้ว อย่างไรก็ตาม เราเห็นว่ายังมีพื้นที่สำหรับการปรับปรุง และบทความนี้จะอธิบายว่าเราจะเปลี่ยนแปลงอะไรและอย่างไร"

กล่าวโดยสรุป Microsoft ยืนกรานว่าไม่มีความเสี่ยงจริง แต่ก็ตัดสินใจแก้ไขพฤติกรรมดังกล่าวอยู่ดี ซึ่งเป็นท่าทีที่ดูขัดแย้งกันในตัวเอง

Edge เวอร์ชัน 148 เปลี่ยนแปลงอะไรบ้าง

Edge 148 ซึ่งเปิดตัวเมื่อวันที่ 7 พฤษภาคม 2026 นำมาซึ่งการเปลี่ยนแปลงหลายประการที่เกี่ยวข้องกับความปลอดภัย

• การแก้ไขหลัก: Edge จะไม่โหลดรหัสผ่านทั้งหมดลงหน่วยความจำตั้งแต่เปิดเบราว์เซอร์อีกต่อไป
• แพตช์ CVE-2026-2441: แก้ไขช่องโหว่ Remote Code Execution บน Chromium ที่มีการใช้ประโยชน์จริงในสภาพแวดล้อมจริงแล้ว
• ยกเลิก Custom Primary Password: ฟีเจอร์รหัสผ่านหลักแบบกำหนดเองจะถูกยกเลิก และผู้ใช้ที่มีอยู่จะถูกย้ายไปใช้ Device Authentication โดยอัตโนมัติหลังวันที่ 4 มิถุนายน 2026

การเปลี่ยนแปลงเหล่านี้เป็นส่วนหนึ่งของ Secure Future Initiative ของ Microsoft ซึ่งผลักดันให้ระบบยืนยันตัวตนพึ่งพา Device Authentication เช่น Windows Hello มากขึ้น

ขณะนี้การแก้ไขดังกล่าวเปิดใช้งานแล้วใน Canary Channel และจะทยอยขยายไปยังผู้ใช้ Stable Channel ในเร็วๆ นี้

สิ่งที่ผู้ใช้ Edge ควรทำตอนนี้

แม้ Microsoft จะระบุว่าความเสี่ยงต่อผู้ใช้ทั่วไปอยู่ในระดับต่ำ เนื่องจากการโจมตีต้องอาศัยการที่อุปกรณ์ถูกบุกรุกก่อน แต่มีแนวทางปฏิบัติที่แนะนำสำหรับผู้ที่ใช้ Edge ในสภาพแวดล้อมการทำงานหรือเครื่องที่มีข้อมูลสำคัญ

• อัปเดต Edge เป็นเวอร์ชัน 148 ทันทีที่ Stable Channel ส่งมอบการอัปเดต
• พิจารณาย้ายรหัสผ่านสำคัญ เช่น อีเมล ธนาคาร และบัญชีโซเชียลมีเดีย ไปยัง Password Manager เฉพาะทาง แทนการพึ่งพาฟีเจอร์ในตัวเบราว์เซอร์
• เปิดใช้งาน 2FA หรือ Passkey สำหรับบัญชีที่มีความสำคัญสูง
• หากเคยใช้ Edge บนเครื่องที่ใช้ร่วมกัน หรือเคยรันซอฟต์แวร์ที่น่าสงสัย ควรเปลี่ยนรหัสผ่านของบัญชีสำคัญและเปิดใช้การยืนยันตัวตนสองขั้นตอน

สำหรับผู้ใช้ Edge ในไทย ทั้งในระดับองค์กรและส่วนตัว เหตุการณ์นี้เป็นเครื่องเตือนใจที่ดีว่าการพึ่งพา Password Manager ในตัวเบราว์เซอร์เพียงอย่างเดียวอาจมีความเสี่ยงที่ไม่คาดคิด การใช้แอปพลิเคชันจัดการรหัสผ่านเฉพาะทางร่วมด้วยจึงเป็นแนวทางที่รอบคอบกว่า

แหล่งที่มา

• Windows Central — Microsoft reverses course on Edge password handling but denies users were ever at risk
• News4Hackers — Microsoft Edge update prevents password storage in memory at launch
• Neowin — Microsoft is removing a security feature from the Edge browser