Win10新瀏覽器Edge:性能升,危險增
責編:mhshi |2015-08-04 14:14:18微軟Edge瀏覽器中有兩個被廣泛使用的插件:Adobe?Flash以及一個PDF閱讀器。多年以來,Flash已經證明了自己是一個重大的安全 隱患。盡管我們認為用戶和網站都應遠離Flash,而情況卻是在可預見的未來Flash不會消失。但是針對Flash的攻擊仍將繼續,微軟將Flash作 為一項內置功能,只能說是勇氣可嘉。
同樣,集成PDF閱讀器出現在模塊windows.data.pdf.dll中,這也潛在為攻擊者提供了一個進入Edge瀏覽器的路徑。
盡管這些都存在潛在的風險向量,而恰當地使用仍可保障相對的安全性。同樣是運用集成插件的Google?Chrome和Firefox并沒有什么重大問題出現,而合理利用則可以降低風險。
此外,融合Flash也就意味著可以更隨windows更新,Flash也獲得更新,這樣便可以降低用戶運行低版本Flash時所產生的巨大風險。(注意,這并非首次出現:在Windows?8中IE瀏覽器已經如此了。)
支持asm.js
Edge與Chrome都支持asm.js。這一原本來自于Mozilla的asm.js,提供了一種讓由C、C++或其它語言編寫的原生代碼在瀏 覽器端運行的途徑。sm.js中包含了JavaScript的一個嚴格子集?——?包括嚴格類型的整數、浮點數、數值計算、函數調用和堆訪問,這對速度起 到優化作用。實際上,就是將其他代碼轉化成JS代碼。LLVM編譯器負責這一任務。
然而,在其他支持asm.js的瀏覽器中都出現了 安全問題。2015年度Pwn2Own比賽中,一個Mozilla?Firefox中asm.js實現中的漏洞(CVE-2015-0817)被用于成功 破解了瀏覽器。因此,我們無法排除這樣的危險性,未來微軟Edge瀏覽器也可能從這里被搞定。
新拓展模型
Edge將會在推出Windows10之后的某個時間發布升級的擴展支持。而Chrome和Firefox的擴展可以在相對稍加修改的基礎上用于微軟Edge當中,但是具體的細節尚不明確。
而這些擴展將在AppContainer沙盒中運行,但是沙盒逃逸漏洞可以被用于逃逸。此外,不能排除會有惡意擴展出現——要么一開始就是惡意擴展,要么就是一個合規的擴展被修改后進而成為一個惡意項目。
然而,Edge目前尚沒有支持任何擴展。
瀏覽器安全性PK
下面的表格中顯示了不同瀏覽器多特性、保護能力以及受攻擊面的比較。
盡管IE?11支持EPM沙盒,但在默認情況下只是用PM沙盒。IE?11在默認的渲染流程為32-bit。
圖為受攻擊平面
主流瀏覽器exp緩解性能
總結
Edge相較IE?11而言確實有一個明顯的改善,特別是在升級的沙箱和利用減排技能讓破解Edge變得更加困難。此外,刪除過去不被使用的那些功能也減少了針對瀏覽器發出的攻擊向量。
總的來說,我們認為Edge已經到達了能與Chrome比肩的地步,二者都同樣明顯地優于Firefox。然而,不容樂觀的是Edge仍存在許多攻擊者可以突破的地方。考慮到現在瀏覽器復雜的需求,這或許也是現實無法避免的。