مایکروسافت در تلاش برای ایجاد امنیت بهتر ، کامپایلر JIT JavaScript مرورگر اج را غیرفعال می کند.
جاناتان نورمن، سرپرست تحقیقات آسیب پذیری مایکروسافت، در ارتباط با آزمایش Edge توضیح داد، که در آن با غیرفعالکردن برخی ویژگیهای مرورگر اج، امنیت این مرورگر را افزایش دادهاند. این تیم در آزمایش مذکور برای امنیت بیشتر مرورگر اج، کامپایلر جاوا اسکریپت JIT-بهموقع (Just-In-Time) را غیرفعال کرد.
نورمن با توصیف گردآوری JIT به عنوان یک "فرایند بسیار پیچیده که تعداد کمی از مردم آن را درک می کنند و حاشیه کمی برای خطا دارد" ، اشاره کرد که نیمی از آسیب پذیری های موتور جاوا اسکریپت V8 مربوط به این فرایند است.
با غیرفعال شدن قابلیت JIT ، مایکروسافت اج امنیت فناوریهایی چون، Control Enforcement Technology (CET) از اینتل ، و Windows 'Arbitrary Code Guard (ACG) و Control Flow Guard (CFG) را میتواند حفظ کند که پیشازاین با قابلیت JIT ناسازگار بودند.
نورمن گفت: "متأسفانه بهدلیل ارائه محتوای نامطمئن بهوسیله این فرایند رندرساز، بهناچار تاحدممکن آن را غیرفعال کردیم. با این اقدام علاوهبر کاهش تعداد اشکالات امنیتی، اجراییشدن اجزای تشکیلدهنده این فرایند نیز دچار مشکل خواهند شد. با این کاهش سطح حمله نیمی از باگهای موجود در اشکالات امنیتی از بین میرود و نیمی دیگر نیز بهسختی اجرا میشود. بهعبارتدیگر، درکنار کاهش هزینهها برای کاربران، هزینههای هکرها را افزایش میدهیم."
با وجود کاهش ۵۸ درصدی عملکرد مرورگر اج بدون JIT فعال در آزمونهای بنچمارک، کاربران تغییر خاصی احساس نخواهند کرد.
نورمن گفت:
امیدواریم در آینده امنیت CET و ACG و CFG را در فرایند رندرساز بتوانیم حفظ کنیم و پسازآن نیز راهی برای تشخیص هوشمندانه کاهش تعداد اشکالات امنیتی و دادن اختیار به کاربر برای فعال یا غیرفعالکردن این قابلیت پیدا کنیم. ماهیت هر قابلیتی تغییرپذیربودن آن است و غیرفعالکردن JIT هم تنها یکی از آزمایشهای انجام شده است. هنوز مشکلات فنی زیادی برای غلبه پیش رو داریم و هنگام معرفی رسمی این قابلیت عبارتی حرفهایتر از Super Duper Secure Mode بهکار خواهیم برد.
Super Duper Secure Mode در حال حاضر از طریق آدرسهای edge: // برای کاربران canary ، dev و beta نسخه های مرورگر در دسترس است و و نسخههای آزمایشی مرورگر کروم دردسترس است؛ اما با WebAssembly سازگار نیست.
نورمن در توییتر گفت که برنامه هایی برای انتقال حالت Super Duper به MacOS و Android و به کار انداختن WebAssembly در حال انجام است.
های فن تک از شما دعوت میکند جهت بحث در مورد این مقاله ، دیدگاه خود را به اشتراک بگذارید