مرورگر اج با معرفی Super Duper Secure Mode، امنیت بیشتری ارائه می‌دهد

مرورگر اج با معرفی Super Duper Secure Mode، امنیت بیشتری ارائه می‌دهد

مایکروسافت با غیرفعال‌کردن کامپایلر JIT جاوا اسکریپت در حالت فوق امن (Super Duper Secure Mode) مرورگر اج، از امنیت بیشتر این مرورگر خبر می‌دهد.

مایکروسافت برای امنیت بیشتر، کامپایلر JIT جاوا اسکریپت مرورگر اج را غیرفعال می‌کند. به‌گزارش zdnet، جاناتان نورمن، سرپرست تیم تحقیقات آسیب‌پذیری مایکروسافت، جزئیات آزمایشی را توضیح داد که در آن با غیرفعال‌کردن برخی ویژگی‌های مرورگر اج، امنیت این مرورگر را افزایش داده‌اند. این تیم در آزمایش مذکور برای امنیت بیشتر مرورگر اج، کامپایلر جاوا اسکریپت JIT-به‌موقع (Just-In-Time) را غیرفعال کرد.

او قابلیت JIT را فرایند بسیار پیچیده با خطای کم توصیف کرد که برای تعداد کمی از مردم درک‌کردنی است و آن را دلیل نیمی از آسیب‌پذیری‌های موتور جاوا اسکریپت V8 دانست.

با غیرفعال‌کردن این قابلیت، مایکروسافت اج امنیت فناوری‌هایی مانند CET و ACG و CFG را می‌تواند حفظ کند که پیش‌از‌این با قابلیت JIT ناسازگار بودند.

نورمن اضافه کرد:

متأسفانه به‌دلیل ارائه‌ محتوای نامطمئن به‌وسیله این فرایند رندرساز، به‌ناچار تاحدممکن آن را غیرفعال کردیم. با این اقدام علاوه‌بر کاهش تعداد اشکالات امنیتی، اجرایی‌شدن اجزای تشکیل‌دهنده این فرایند نیز دچار مشکل خواهند شد. با این کاهش سطح حمله نیمی از باگ‌های موجود در اشکالات امنیتی از بین می‌رود و نیمی دیگر نیز به‌سختی اجرا می‌شود. به‌عبارت‌دیگر، درکنار کاهش هزینه‌ها برای کاربران، هزینه‌های هکرها را افزایش می‌دهیم.

عملکرد اج بدون JIT

با وجود کاهش ۵۸ درصدی عملکرد مرورگر اج بدون JIT فعال در آزمون‌های بنچمارک، کاربران تغییر خاصی احساس نخواهند کرد.

در‌حال‌حاضر، Super Duper Secure Mode با فعال‌سازی CET ازطریق آدرس edge://flags برای کاربران canar و dev و نسخه‌های آزمایشی مرورگر کروم دردسترس است؛ اما با WebAssembly سازگار نیست.

نورمن گفت:

امیدواریم در آینده‌ امنیت CET و ACG و CFG را در فرایند رندرساز بتوانیم حفظ کنیم و پس‌ازآن نیز راهی برای تشخیص هوشمندانه کاهش تعداد اشکالات امنیتی و دادن اختیار به کاربر برای فعال یا غیرفعال‌کردن این قابلیت پیدا کنیم. ماهیت هر قابلیتی تغییر‌پذیربودن آن است و غیرفعال‌کردن JIT هم تنها یکی از آزمایش‌های انجام شده است‌. هنوز مشکلات فنی زیادی برای غلبه پیش رو داریم و هنگام معرفی رسمی این قابلیت عبارتی حرفه‌ای‌تر از Super Duper Secure Mode به‌کار خواهیم برد. 

نورمن در توییتر از برنامه‌های تیم یادشده برای انتقال این قابلیت به سیستم‌عامل اندروید و MacOS و سازگاری آن با WebAssembly خبر داد.

دیدگاه شما کاربران درباره این خبر چیست؟

منبع zdnet
  دیدگاه
کاراکتر باقی مانده