マイクロソフトはウェブブラウザー「Edge」に、ユーザーがブラウザーのパフォーマンスを犠牲にしてセキュリティを向上させることができるセキュリティ機能を追加していたことがわかりました。
Super Duper Secure Mode を安定版 (96.0.1054.29) がリリースしました。バランスモードとストリクトモードを切り替えられるようになりました。
バランスモードは、よく使うサイトを学習して、そのサイトを信頼し、ストリクトモードは、そのサイトを信頼します。 ユーザーが独自の例外を追加できるようになりました。
2021年8月に発表されたこの機能は、「Super Duper Secure Mode」と名付けられており、2021年11月19日にリリースされたEdge v96.0.1054.29に搭載されていたと、Microsoft Edge Vulnerability Research LeadのJohnathan Norman氏は述べています。
この機能は、JIT(Just-In-Time)コンパイラと呼ばれるEdgeコンポーネントのサポートを無効にすることで動作します。
JITコンパイラは、ブラウザを高速化するために、JavaScriptコードを事前にマシンコードにコンパイルするツールキットです。
この機能は当初、Webサイトの読み込み速度を向上させ、複雑で動的なWebサイトを支援するために設計されましたが、最近セキュリティ上の欠陥が話題になっています。
Edgeチームが8月のブログ投稿で説明したように、JITコンパイラーは2019年以降、Edgeのブラウザエンジンで発見されたセキュリティ脆弱性の45%の原因となっており、Chromiumブラウザで悪用されたゼロデイの半数の原因になっています。
Super Duper Secure Modeでは、Edgeの設定セクションであるedge://settings/privacyにアクセスし、スイッチを切り替えることで、JITコンパイルを無効にすることができます。
ユーザーが普段アクセスしない新しいサイトでJITを無効にする「Balanced」と、すべてのサイトで一度にJITを無効にする「Strict」の2つのオプションが用意されています。
このセキュリティオプションに加えて、MiraclePtr、Controlflow-Enforcement Technology(CET)、Arbitrary Code Guard(ACG)のサポートをEdgeに追加するなど、他のセキュリティ機能を追加する予定であるとしています。
Comments