Microsoft mengonfirmasi bahwa Edge versi 148 akan menghentikan perilaku yang selama ini memuat seluruh password tersimpan dalam bentuk plaintext ke dalam memori saat browser pertama kali dibuka. Perubahan ini muncul setelah seorang peneliti keamanan mengungkap temuan tersebut ke publik — dan yang menarik, Microsoft tetap bersikeras bahwa pengguna tidak pernah berada dalam bahaya.
Apa yang Ditemukan Peneliti Keamanan?
Peneliti keamanan bernama Tom Jøran Sønstebyseter Rønning menemukan bahwa Microsoft Edge mendekripsi seluruh kredensial yang tersimpan dan mempertahankan data tersebut di memori begitu browser dibuka, bahkan sebelum pengguna melakukan apa pun.
Temuan ini menjadi sorotan karena perilaku serupa tidak ditemukan pada browser berbasis Chromium lainnya. Dalam pengujian yang dilakukan terhadap Google Chrome, Brave, Vivaldi, Opera, dan Microsoft Edge, hanya Edge yang menunjukkan perilaku ini. Rob VandenBrink dari SANS Internet Storm Center juga berhasil mereproduksi masalah yang sama dengan cara mengambil memory dump saat Edge sedang terbuka.
Perbandingan perilaku kedua browser dapat dilihat pada tabel berikut:
| Browser | Perilaku Saat Startup | Kapan Password Didekripsi |
|---|---|---|
| Microsoft Edge | Semua password didekripsi dan dimuat ke memori | Langsung saat browser dibuka (seluruh data) |
| Google Chrome | Hanya mendekripsi saat diperlukan | Ketika pengguna secara eksplisit meminta melihat password tertentu |
Perlu dicatat bahwa meskipun UI Edge menampilkan prompt autentikasi ulang sebelum menampilkan password, data plaintext tersebut sebenarnya sudah lebih dulu ada di dalam proses browser — sebuah inkonsistensi yang dinilai menyesatkan.
Respons Microsoft: "Tidak Berbahaya, tapi Kami Tetap Mengubahnya"
Begitu temuan ini dipublikasikan, Microsoft menyatakan bahwa perilaku tersebut merupakan "expected feature" atau fitur yang memang disengaja. Argumen utama perusahaan adalah bahwa untuk mengeksploitasi kondisi ini, penyerang terlebih dahulu harus sudah berhasil mengakses perangkat korban.
Dalam posting blog yang mengumumkan perubahan spesifikasi, Microsoft menegaskan posisinya:
"Berdasarkan standar yang berlaku, perilaku ini masuk dalam cakupan model ancaman yang diantisipasi. Risiko baru muncul ketika penyerang sudah berhasil mengkompromikan perangkat. Meski demikian, kami melihat adanya ruang untuk perbaikan dan artikel ini menjelaskan apa yang akan kami ubah."
Sikap ini memunculkan pertanyaan wajar: jika tidak ada risiko, mengapa perlu diubah? Microsoft tampaknya mengakui adanya celah untuk peningkatan tanpa mau secara eksplisit mengakui adanya kelemahan keamanan.
Perubahan di Edge 148 dan Kaitannya dengan Secure Future Initiative
Edge versi 148.0 dirilis pada 7 Mei 2026. Selain menghentikan pemuatan password ke memori saat startup, versi ini membawa sejumlah pembaruan keamanan lain yang saling berkaitan:
- Patch CVE-2026-2441: Menambal kerentanan remote code execution berbasis Chromium yang telah dieksploitasi di lingkungan nyata.
- Penghapusan Custom Primary Password: Fitur ini akan dihentikan, dan mulai 4 Juni 2026, pengguna yang masih menggunakannya akan secara otomatis dialihkan ke autentikasi perangkat (seperti Windows Hello).
Microsoft menyebut seluruh perubahan ini sebagai bagian dari Secure Future Initiative — inisiatif keamanan jangka panjang perusahaan yang juga mempertimbangkan masukan dari pengguna. Arah yang terlihat jelas adalah mendorong pengguna beralih dari manajemen password berbasis browser menuju autentikasi berbasis perangkat.
Perubahan pada versi 148 sudah aktif di saluran Canary dan akan segera didistribusikan ke seluruh pengguna melalui saluran Stable.
Langkah yang Disarankan bagi Pengguna
Bagi pengguna yang menyimpan password penting di Edge — terutama di lingkungan kerja atau perangkat yang digunakan bersama — ada beberapa langkah yang patut dipertimbangkan:
- Perbarui Edge ke versi 148 segera setelah pembaruan tersedia di saluran Stable.
- Pertimbangkan beralih ke password manager khusus seperti Bitwarden, 1Password, atau solusi serupa, terutama untuk akun-akun berisiko tinggi seperti email, perbankan, dan akun media sosial.
- Aktifkan autentikasi dua faktor (2FA) atau passkey pada akun-akun penting sebagai lapisan perlindungan tambahan.
- Jika ada riwayat menjalankan perangkat lunak mencurigakan atau menggunakan PC bersama untuk mengakses akun sensitif, prioritaskan penggantian password pada akun tersebut.
Sebagai gambaran, Microsoft sendiri menegaskan bahwa eksploitasi perilaku ini membutuhkan perangkat yang sudah terlebih dahulu dikompromikan. Artinya, bagi pengguna dengan kebiasaan keamanan digital yang baik, urgensinya relatif rendah — namun pembaruan tetap disarankan.
Bagi pengguna di Indonesia yang memanfaatkan Edge untuk keperluan profesional, pembaruan ini relevan terutama jika perangkat digunakan di lingkungan jaringan kantor atau menyimpan kredensial layanan bisnis. Informasi ketersediaan pembaruan versi Stable dapat dipantau langsung melalui menu Help > About Microsoft Edge di browser Anda.
