Microsoft、Edgeブラウザの安全強化モード「Super Duper Secure Mode」のテスト開始
MicrosoftがWebブラウザ「Edge」のセキュリティプロジェクト「Super Duper Secure Mode」(SDSM)を発表した。エクスプロイトの原因になりがちなJITコンパイルを削除しつつパフォーマンスを保つテストに取り組む。
米Microsoftは8月4日(現地時間)、Webブラウザ「Edge」の安全性を高めるための新たなプロジェクト「Super Duper Secure Mode」(SDSM)を発表した。「super duper」は「超かっこいい」というような意味のスラングで、プロジェクトを楽しくするために命名したが、このモードが公式になれば名称を変更する予定としている。
大まかに説明すると、エクスプロイトの原因になりがちなJavaScriptのJIT(Just-In-Timeコンパイル)を削除することで安全性を高める。JITはJavaScriptのパフォーマンスを最適化できる重要な機能だが、例えば2019年以降のCVEデータによると、JavaScriptエンジン「V8」のCVEの約45%がJITに関連していたという。また、Mozillaの分析によると、“野生の”Chromeエクスプロイトの半分以上がJITのバグを悪用していたという。
JITを削除するとEdgeのパフォーマンスがどのくらい落ちるかをテストしたところ、ほとんど影響がなかったとしている。「ちなみに、JITが無効になっていてもユーザーがそれに気づくことはめったにない」という。ページの読み込みへの影響はあるが、起動時間は短縮される。
Microsoftは、今後数カ月にわたってSDSMのテストを続ける。まずJITを無効にし、CETを有効にする。このモードではWebAssemblyをサポートしないが、段階的に新しい緩和策を有効にしていき、WebAssemblyのサポートも追加したい考え。
EdgeのCanary、Dev、Betaのユーザーは、edge://flagsでSDSMモードを有効にすることで、テストに参加できる。
関連記事
- Google、「Chrome 91」は23%高速化 V8エンジン改善で
- AWS、エッジにおけるJavaScript実行環境に本格参入 CloudflareやDenoなどの競合に
- Microsoft、4月の月例更新で悪用されたExchange問題を含む多数の脆弱性に対処 「Edge Legacy」は消滅
- Microsoft Edgeの更新サイクルもChromeと同じ4週間に(9月から)
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.