Edge-Sicherheitslücke von Microsoft Das Team experimentiert mit einem neuen „Super Duper Secure Mode“, der gegen den Standardbrowser verstößt Praktiken, um die Web-Sicherheit deutlich zu erhöhen. Und während dieser neue „Sichere Modus“ wie eine Funktion für allzu besorgte IT-Abteilungen klingen mag, könnte er eines Tages zur Standardeinstellung für alle Edge-Benutzer werden. Wie funktioniert es also?
Nun, die Software hinter Super Duper Secure Mode ist etwas kompliziert (sogar für Webentwickler), aber das Gesamtkonzept ist ziemlich einfach zu verstehen; Der geschwindigkeitssteigernde JIT-Compiler der V8-JavaScript-Engine ist ein Sicherheitsalbtraum und muss ausgeschaltet werden.
Die V8-JavaScript-Engine ist seit langem ein beliebtes Ziel für Hacker, da sie super buggy, leicht auszunutzen und bietet einen wunderbaren Einstiegspunkt in ein Betriebssystem. Der 2008 eingeführte JIT-Compiler (oder Just-In-Time-Compiler) erhöht die JavaScript-Leistung auf Kosten der Sicherheit, sodass 45 % der identifizierten V8-Schwachstellen mit JIT zusammenhängen.
Nicht nur das, aber der JIT-Compiler hindert Browserentwickler daran, leistungsstarke Sicherheitsprotokolle wie Intels Controlflow-Enforcement-Technologie (CET) und Microsofts Arbitrary Code Guard (ACG). Die Vorteile der Deaktivierung von JIT sind überwältigend – laut dem Edge Vulnerability Team wird dadurch die Ausnutzung aller Browser-Schwachstellen für Hacker erschwert.
Diese Reduzierung der Angriffsfläche tötet die Hälfte der Fehler, die wir sehen in Exploits und jeder verbleibende Fehler wird schwieriger auszunutzen. Anders ausgedrückt: Wir senken die Kosten für Nutzer, erhöhen aber die Kosten für Angreifer.
Aber es gibt einen Grund, warum dieses Schema gegen die gängige Praxis verstößt. Die Deaktivierung von JIT verringert die Browserleistung, insbesondere auf Webseiten, die stark auf JavaScript angewiesen sind, wie YouTube. Obwohl das Edge Vulnerability Team berichtet, dass „Benutzer mit deaktiviertem JIT selten einen Unterschied beim täglichen Surfen bemerken“, besteht sicherlich ein Unterschied, der bei vielen Empörung auslösen würde.
Die Tests des Edge Vulnerability Teams bestätigen, dass „Super Duper Secure Mode“ hat oft einen negativen Einfluss auf die Surfgeschwindigkeit, insbesondere auf die Seitenladezeiten. Aber um fair zu sein, eine durchschnittliche Regression von 17 % bei den Ladezeiten ist nicht so schlimm. Und in einigen Fällen hatte die Deaktivierung von JIT sogar einen positiven Einfluss auf den Speicher-und Stromverbrauch.
Der „Super Duper Secure Mode“ von Microsoft muss eindeutig einige technische Hürden überwinden, aber das Edge-Team ist der Aufgabe wahrscheinlich gewachsen. Mit der Zeit könnte der „Super Duper Secure Mode“ zum Standard für alle Benutzer werden, da seine Sicherheitsvorteile einfach zu schwer zu ignorieren sind. Ganz zu schweigen davon, dass es die Häufigkeit von Sicherheitsupdates reduzieren könnte, die sowohl für Einzelpersonen als auch für Unternehmen lästig sind.
Der”Super Duper Secure Mode”ist jedoch vorerst nur eine experimentelle Funktion. Diejenigen, die es testen möchten, müssen die neueste Microsoft Edge-Vorschauversion (Beta, Dev oder Canary) herunterladen und edge. eingeben://flags/#edge-enable-super-duper-secure-mode in ihrer Adressleiste.
Quelle: Microsoft über TechRadar