Microsoft、Edgeブラウザの安全強化モード「Super Duper Secure Mode」のテスト開始

[ITmedia]

　米Microsoftは8月4日（現地時間）、Webブラウザ「Edge」の安全性を高めるための新たなプロジェクト「Super Duper Secure Mode」（SDSM）を発表した。「super duper」は「超かっこいい」というような意味のスラングで、プロジェクトを楽しくするために命名したが、このモードが公式になれば名称を変更する予定としている。

　大まかに説明すると、エクスプロイトの原因になりがちなJavaScriptのJIT（Just-In-Timeコンパイル）を削除することで安全性を高める。JITはJavaScriptのパフォーマンスを最適化できる重要な機能だが、例えば2019年以降のCVEデータによると、JavaScriptエンジン「V8」のCVEの約45％がJITに関連していたという。また、Mozillaの分析によると、“野生の”Chromeエクスプロイトの半分以上がJITのバグを悪用していたという。

Microsoftが公式ブログで紹介したMozillaの分析グラフ

　JITを削除するとEdgeのパフォーマンスがどのくらい落ちるかをテストしたところ、ほとんど影響がなかったとしている。「ちなみに、JITが無効になっていてもユーザーがそれに気づくことはめったにない」という。ページの読み込みへの影響はあるが、起動時間は短縮される。

　Microsoftは、今後数カ月にわたってSDSMのテストを続ける。まずJITを無効にし、CETを有効にする。このモードではWebAssemblyをサポートしないが、段階的に新しい緩和策を有効にしていき、WebAssemblyのサポートも追加したい考え。

　EdgeのCanary、Dev、Betaのユーザーは、edge://flagsでSDSMモードを有効にすることで、テストに参加できる。