微软拟禁用JIT提高Edge浏览器安全性
微软近期宣布,将在其Edge Web浏览器上进行一项实验,有意禁用一项重要的性能和优化功能,以便在Edge Super Duper安全模式下实现更高级的安全升级。
微软Edge漏洞研究负责人Johnathan Norman表示,新的Super Duper安全模式背后的想法是在V8(Edge浏览器的JavaScript引擎)中禁用对JIT(Just-In-Time,即时)的支持。
JIT虽然不为大多数终*用户所熟知,但在当今所有的Web浏览器中,它都扮演着至关重要的角色。JIT的工作原理是运用JavaScript并提前将其编译为机器代码。如果浏览器需要这些代码,它将获得显著的速度提升。否则,代码将被丢弃。
然而,V8中的JIT支持非常复杂。Norman表示,2019年与JIT相关的安全问题占所有V8漏洞的45%。此外,与JIT相关的bug造成了超过一半的“野生”Chrome漏洞。
Edge团队*近进行的测试表明,尽管JIT在20世纪初中期在加速浏览器方面发挥了关键作用,但它已不再是Edge性能的关键功能。
图片来自微软
被这些发现所鼓舞,Norman称Edge团队现在正在研究Super Duper安全模式,这是一种边缘配置,在这种配置中,他们禁用JIT并启用其他三种安全功能,如ControlflowEnforcement Technology(CET)和Arbitral CodeGuard(ACG)——这两种功能通常会与V8的JIT实现发生冲突。
但是正如Norman所解释的,Super Duper安全模式目前还只是一项实验,还没有正式计划将其发送给用户。
来自于Norman的推文
虽然Super Duper安全模式还没有一个确切的未来,但该功能已经上线并准备测试。Edge Canary、Dev和Beta的用户可以转到以下地址并在其浏览器中启用它:
edge://flags/#edge-enable-super-duper-secure-mode
图片来自微软
原文链接:
https://therecord.media/microsoft-announces-new-super-duper-secure-mode-for-edge/