Tim za istraživanje ranjivosti Microsoft Edge objavio je to prije nekoliko dana eksperimentiranje s novom funkcijom u pregledaču. Eksperiment uključuje namjerno onemogućavanje JIT kompajlera JavaScript i WebAssembly, dakle dobivate veliku optimizaciju i poboljšanje performansi kako bi se omogućila naprednija sigurnosna ažuriranja u onome što kompanija naziva Edge Super Duper Secure Mode.
Kompanija je to objasnila ideja je smanjiti površinu napada eksploatacije moderni sistemi koji se temelje na JavaScript nedostacima i dramatično povećavaju troškove rada napadača.
Microsoft spominje da Chromium, koji je pak zasnovan na motoru JavaScript V8, otvorenom kodu, dolazi s JIT kompajlerom koji igra ključnu ulogu u svim trenutnim web preglednicima i funkcionira tako što preuzima JavaScript i kompilira ga unaprijed u strojni kod. s kojim će se, ako pregledniku treba ovaj kôd, ubrzati, ako mu ne treba, kôd se briše.
S obzirom na to, dobavljači preglednika slažu se da je podrška za kompajlere JIT -a u V8 složena jer je vrlo malo ljudi razumije i ima nisku marginu grešaka.
Na temelju CVE podataka prikupljenih od 2019., približno 45% ranjivosti pronađenih u JavaScript stroju i WebAssembly V8 odnosilo se na JIT kompajler, ili više od polovice svih ranjivosti u Chromeu.
“Web stranice ne zahtijevaju JavaScript, ono što im zaista treba su web stranice na jednoj stranici s anti-predlošcima poput beskonačnog pomicanja. Zauzvrat dobivate dvije stvari, super duper brz web i sigurniji web preglednik. Na primjer, Amazon vrlo dobro podržava upotrebu bez JavaScripta. Drugi eksperiment je Stackoverflow, stvari poput pregleda i isticanja ne rade. Isticanje se može dodati pomoću koda na strani servera, ali će koštati CPU-ovo vrijeme, a ne vaše CPU-ovo vrijeme. Je li vam vrijeme za CPU? »Čitamo u komentarima.
Zato ohrabreni ovim rezultatima, Edge tim trenutno radi u onome što tim za virtuelnu stvarnost naziva "Super Duper siguran način", Edge konfiguracija u kojoj onemogućujete JIT kompajler i omogućavate tri druge sigurnosne funkcije, uključujući Intelovu CET (ControlFlow -Enforcement Technology) tehnologiju i Windows ACG (Arbitrary Code Guard) sistem - dvije značajke koje bi inače bile u sukobu sa implementacijom JIT V8 .
"Onemogućavanjem JIT kompajlera možemo omogućiti ublažavanje i otežati iskorištavanje sigurnosnih grešaka u bilo kojoj komponenti procesa iscrtavanja", napisao je. Ovo smanjenje površine napada ubija polovinu grešaka koje vidimo u eksploatacijama, a svaku preostalu grešku postaje sve teže iskoristiti. Drugim riječima, smanjujemo troškove za korisnike, ali povećavamo troškove napadačima. "
Međutim, Microsoft testiranje otkrio da Edge verzije bez JIT kompajlera imali su smanjenje vremena učitavanja za 16,9% stranice i smanjenje upotrebe memorije za 2,3%. Ali ovaj je eksperiment bio samo privremeni i Super Duper Secure Mode (SDSM) neće uskoro biti dio službene verzije Microsoft Edge.
Međutim, korisnici Microsoft Edge-a prije izdanja (uključujući Beta, Dev i Canary) mogu omogućiti SDSM na edge: // flags / # edge-enable-super-duper-secure-mode i omogućiti novu funkciju.
Vijest dolazi ubrzo nakon što je Microsoft Edge otkrio mnoštvo novih opcija. Opcije personalizacije za korisnike, uključujući mogućnost promjene zadanog unosa u vezi s dozvolom za automatsku reprodukciju medija u pregledniku, kao i mogućnost "isključivanja" upozorenja o statusu lozinke za određenu web stranicu. Naravno, u zajednici cijenimo Microsoftov trud da smanji površinu napada za krajnje korisnike koji apriori nisu zatražili sav JavaScript koji se danas nalazi na web stranicama.
Konačno ako vas zanima više o, Detalje možete provjeriti na sljedećem linku.