El equipo de investigación de vulnerabilidades de Microsoft Edge anunció hace pocos dias que experimentando con una nueva función en el navegador. El experimento implica deshabilitar intencionalmente el compilador JIT de JavaScript y WebAssembly, con lo cual se obtiene una importante mejora de optimización y rendimiento para permitir actualizaciones de seguridad más avanzadas en lo que la compañía llama Edge Super Duper Secure Mode.
La compañía explicó que la idea es reducir la superficie de ataque de los exploits modernos que se basan en fallas de JavaScript y aumentar drásticamente el costo de operación para los atacantes.
Microsoft menciona que Chromium que a su vez se basa en el motor JavaScript V8 un motor de código abierto, viene con un compilador JIT el cual juega un papel crucial en todos los navegadores web actuales y funciona tomando JavaScript y compilándolo en código de máquina con anticipación con lo cual si el navegador necesita este código, se acelerará, si no lo necesita, se borra el código.
Dicho esto, los proveedores de navegadores están de acuerdo en que el soporte del compilador JIT en V8 es complejo, ya que muy pocas personas entienden y tiene un bajo margen de error.
Según los datos de CVE recopilados desde 2019, aproximadamente el 45% de las vulnerabilidades encontradas en el motor JavaScript y WebAssembly V8 estaban relacionadas con el compilador JIT, o más de la mitad de todas las vulnerabilidades de Chrome.
“Los sitios web no requieren JavaScript, lo que realmente lo necesita son aplicaciones web de una sola página con anti-plantillas como el desplazamiento infinito. Obtienes dos cosas a cambio, una web rápida «super duper» y un navegador web más seguro. Por ejemplo, Amazon admite muy bien el uso sin JavaScript. Otro experimento es Stackoverflow, cosas como la vista previa y el resaltado no funcionan. El resaltado se puede agregar con código del lado del servidor, pero costará tiempo de CPU, y no es su tiempo de CPU. ¿Es su tiempo de CPU? », Leemos en los comentarios.
Es por ello que animados por estos resultados, el equipo de Edge está trabajando actualmente en lo que el equipo de realidad virtual llama «Super Duper Secure Mode», una configuración de Edge en la que deshabilita el compilador JIT y habilita otras tres funciones de seguridad, incluida la tecnología CET (ControlFlow-Enforcement tecnología) de Intel y el sistema ACG (Arbitrary Code Guard) Windows: dos funciones que normalmente entrarían en conflicto con la implementación de JIT V8.
«Al deshabilitar el compilador JIT, podemos habilitar mitigaciones y hacer que sea más difícil explotar errores de seguridad en cualquier componente del proceso de renderizado», escribió. Esta reducción en la superficie de ataque mata la mitad de los errores que vemos en los exploits, y cada error restante se vuelve más difícil de explotar. Para decirlo de otra manera, estamos reduciendo los costos para los usuarios, pero aumentando los costos para los atacantes ”
Sin embargo, las pruebas de Microsoft encontraron que las versiones de Edge sin el compilador JIT tenían una reducción del 16,9% en el tiempo de carga de la página y una reducción del 2,3% en el uso de memoria. Pero este experimento fue solo tentativo y Super Duper Secure Mode (SDSM) no será parte de la versión oficial de Microsoft Edge en el corto plazo.
Sin embargo, los usuarios de versiones preliminares de Microsoft Edge (incluidas Beta, Dev y Canary) pueden habilitar SDSM en edge://flags/#edge-enable-super-duper-secure-mode y habilitando la nueva característica.
La noticia llega poco después de que Microsoft Edge revelara una gran cantidad de nuevas opciones de personalización para los usuarios, incluida la capacidad de cambiar la entrada predeterminada con respecto al permiso para reproducir automáticamente los medios en el navegador, así como la capacidad de «desactivar» las alertas de estado de la contraseña para un determinado sitio web. Por supuesto, en la comunidad, apreciamos el esfuerzo de Microsoft para reducir la superficie de ataque para los usuarios finales que a priori no han solicitado todo el JavaScript que se embarca en las páginas web hoy.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.