•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Microsoft Edge đang vướng làn sóng chỉ trích sau khi một nhà nghiên cứu bảo mật công bố phát hiện rằng trình duyệt có thể tải toàn bộ mật khẩu đã lưu ở dạng văn bản thuần (plaintext) vào bộ nhớ RAM ngay khi khởi động. Theo công bố này, dữ liệu đăng nhập có thể bị phần mềm độc hại hoặc kẻ tấn công trích xuất để đánh cắp thông tin đăng nhập.
Nhà nghiên cứu Tom Jøran Sønstebyseter Rønning cho biết ông đã minh họa cách trích xuất mật khẩu đã lưu trong Edge bằng một công cụ đơn giản thông qua dòng lệnh với quyền quản trị.
Theo ông Rønning, khi người dùng lưu mật khẩu trong Edge, trình duyệt sẽ giải mã toàn bộ dữ liệu xác thực ngay tại thời điểm khởi động và giữ chúng trong bộ nhớ tiến trình. Điều này được mô tả là xảy ra ngay cả khi người dùng không truy cập bất kỳ trang web nào có thông tin đăng nhập đã lưu.
Ông Rønning nhấn mạnh Edge là trình duyệt dựa trên Chromium duy nhất trong số các sản phẩm ông thử nghiệm hoạt động theo cách này. Tuy nhiên, Microsoft phản bác rằng mối đe dọa chỉ xuất hiện khi kẻ tấn công đã có quyền kiểm soát máy tính của người dùng, thường thông qua nhiễm phần mềm độc hại.
Microsoft cũng cho rằng việc truy cập dữ liệu trình duyệt như mô tả đòi hỏi thiết bị đã bị xâm nhập trước đó.
Nhà nghiên cứu đặt câu hỏi vì sao Microsoft không áp dụng cách tiếp cận tương tự Google Chrome. Theo ông, Chrome chỉ giải mã thông tin đăng nhập đã lưu khi cần thiết cho chức năng tự động điền, sau đó xóa chúng khỏi bộ nhớ.
Theo mô tả trong video minh họa, việc trích xuất mật khẩu của nhiều người dùng cũng có thể thực hiện nếu kẻ tấn công giành được quyền quản trị trên một máy chủ đầu cuối Windows.
Trong trường hợp được nêu, kẻ tấn công có thể xâm nhập tài khoản người dùng với đặc quyền quản trị để xem thông tin đăng nhập đã lưu của các người dùng khác đang đăng nhập. Ông cũng đề cập khả năng thực hiện thông qua Windows Task Manager: chọn tiến trình Edge, tạo memory dump, sau đó mở file dump để tìm kiếm thông tin đăng nhập.
Microsoft cho biết cách tiếp cận hiện tại trong việc tải mật khẩu đã lưu vào Edge có thể cải thiện trải nghiệm người dùng. Công ty giải thích các lựa chọn thiết kế trong lĩnh vực này là sự cân bằng giữa hiệu năng, khả năng sử dụng và bảo mật, đồng thời cho biết sẽ tiếp tục xem xét trước các mối đe dọa đang phát triển.
Theo Microsoft, trình duyệt truy cập dữ liệu mật khẩu trong bộ nhớ để giúp người dùng đăng nhập nhanh chóng và an toàn, và đây là tính năng được dự kiến của ứng dụng.
Các khuyến nghị cuối cùng của Microsoft được cho là đáng lo ngại khi công ty đề xuất người dùng cài đặt các bản cập nhật bảo mật mới nhất và sử dụng phần mềm diệt virus để phòng ngừa rủi ro. Nội dung này được liên hệ với việc Microsoft từng khuyến nghị phần mềm diệt virus tích hợp trong Windows 11 để bảo vệ phần lớn người dùng.
Trong cộng đồng công nghệ, tranh luận xuất hiện theo hai hướng: một số cho rằng nguy cơ bị thổi phồng vì yêu cầu quyền quản trị và các token truy cập có thể kích hoạt cảnh báo; số khác đặt câu hỏi vì sao Microsoft không triển khai cơ chế bảo mật mạnh hơn cho việc lưu trữ mật khẩu.
Nghiên cứu gia Rob VandenBrink cũng tái hiện vấn đề bằng cách mở Task Manager và sử dụng chức năng memory dump khi Edge đang chạy trên máy. Theo mô tả, file dump thu được chứa mật khẩu đã lưu, nhưng quy trình này đòi hỏi quyền truy cập cục bộ.
Dịch vụ nghiên cứu độc hại Vx Underground cho biết một phần mềm độc hại có thể lợi dụng tiến trình trong bộ nhớ Edge để trích xuất mật khẩu người dùng trên máy tính gia đình. Tuy nhiên, ở môi trường doanh nghiệp, việc này được mô tả là khó khăn hơn do cần quyền quản trị và các token bảo mật có thể gây cảnh báo.
Vào chiều 11/5/2026, lãnh đạo Thành phố Hồ Chí Minh đã thị sát công trường cầu đi bộ qua sông Sài Gòn và chứng kiến mẻ bê tông đầu tiên cho bệ trụ chính TC2, đánh dấu dự án bước vào giai đoạn thi công kết cấu trọng yếu. Quy…
