L'équipe Microsoft Edge Vulnerability Research a annoncé il y a quelques jours que expérimenter une nouvelle fonction dans le navigateur. L'expérience implique la désactivation intentionnelle du compilateur JIT JavaScript et WebAssembly, ainsi vous obtenez une optimisation majeure et une amélioration des performances pour activer des mises à jour de sécurité plus avancées dans ce que la société appelle le mode sécurisé Edge Super Duper.
La société a expliqué que l'idée est de réduire la surface d'attaque des exploits des systèmes modernes basés sur des failles JavaScript et augmentant considérablement le coût d'exploitation pour les attaquants.
Microsoft mentionne que Chromium, qui à son tour est basé sur le moteur JavaScript V8, un moteur open source, est livré avec un compilateur JIT qui joue un rôle crucial dans tous les navigateurs Web actuels et fonctionne en prenant JavaScript et en le compilant à l'avance en code machine. avec lequel si le navigateur a besoin de ce code, il sera accéléré, s'il n'en a pas besoin, le code est supprimé.
Cela dit, les fournisseurs de navigateurs conviennent que la prise en charge du compilateur JIT dans V8 est complexe car très peu de gens le comprennent et qu'il a une faible marge d'erreur.
Sur la base des données CVE collectées depuis 2019, environ 45% des vulnérabilités trouvées dans le moteur JavaScript et WebAssembly V8 étaient liées au compilateur JIT, soit plus de la moitié de toutes les vulnérabilités dans Chrome.
« Les sites Web ne nécessitent pas de JavaScript, ce qui en a vraiment besoin, ce sont des applications Web à page unique avec des anti-modèles comme le défilement infini. Vous obtenez deux choses en retour, un Web ultra rapide et un navigateur Web plus sécurisé. Par exemple, Amazon prend très bien en charge l'utilisation sans JavaScript. Une autre expérience est Stackoverflow, des choses comme la prévisualisation et la mise en surbrillance ne fonctionnent pas. La mise en évidence peut être ajoutée avec du code côté serveur, mais cela coûtera du temps CPU, et ce n'est pas votre temps CPU. Est-ce votre temps CPU ? » On lit dans les commentaires.
C'est pourquoi, encouragé par ces résultats, l'équipe Edge travaille actuellement dans ce que l'équipe de réalité virtuelle appelle "Mode sécurisé Super Duper", une configuration Edge dans laquelle vous désactivez le compilateur JIT et activez trois autres fonctionnalités de sécurité, notamment la technologie CET (ControlFlow-Enforcement Technology) d'Intel et le système Windows ACG (Arbitrary Code Guard) - deux fonctionnalités qui seraient normalement en conflit avec la mise en œuvre de JIT V8 .
« En désactivant le compilateur JIT, nous pouvons activer des mesures d'atténuation et rendre plus difficile l'exploitation des bogues de sécurité dans n'importe quel composant du processus de rendu », a-t-il écrit. Cette réduction de la surface d'attaque tue la moitié des bogues que nous voyons dans les exploits, chaque bogue restant devenant plus difficile à exploiter. Pour le dire autrement, nous réduisons les coûts pour les utilisateurs, mais nous augmentons les coûts pour les attaquants. »
Toutefois, Tests Microsoft constaté que les versions Edge sans le compilateur JIT, ils ont eu une réduction de 16,9% du temps de chargement de la page et une réduction de 2,3% de l'utilisation de la mémoire. Mais cette expérience n'était que provisoire et Super Duper Secure Mode (SDSM) ne fera pas partie de la version officielle de Microsoft Edge de si tôt.
Cependant, les utilisateurs de la version préliminaire de Microsoft Edge (y compris les versions bêta, Dev et Canary) peuvent activer SDSM à la périphérie : // flags / # edge-enable-super-duper-secure-mode et activer la nouvelle fonctionnalité.
La nouvelle intervient peu de temps après que Microsoft Edge a révélé une multitude de nouvelles options. Options de personnalisation pour les utilisateurs, y compris la possibilité de modifier l'entrée par défaut concernant l'autorisation de lire automatiquement les médias dans le navigateur, ainsi que la possibilité de « désactiver » les alertes de statut de mot de passe pour un site Web particulier. Bien sûr, dans la communauté, nous apprécions l'effort de Microsoft pour réduire la surface d'attaque pour les utilisateurs finaux qui n'ont a priori pas demandé tout le JavaScript qui est livré sur les pages Web aujourd'hui.
Enfin si vous souhaitez en savoir plus a propos, Vous pouvez vérifier les détails dans le lien suivant.