微軟拟禁用JIT提高(gāo)Edge浏覽器(qì)安全性

發布時間：2021-08-09

微軟近期宣布，将在其Edge Web浏覽器(qì)上(shàng)進行一(yī)項實驗，有意禁用一(yī)項重要的性能(néng)和優化功能(néng)，以便在Edge Super Duper安全模式下(xià)實現更高(gāo)級的安全升級。

微軟Edge漏洞研究負責人Johnathan Norman表示，新的Super Duper安全模式背後的想法是在V8（Edge浏覽器(qì)的JavaScript引擎）中禁用對JIT（Just-In-Time，即時）的支持。

JIT雖然不為(wèi)大多(duō)數終極用戶所熟知，但在當今所有的Web浏覽器(qì)中，它都扮演著(zhe)至關重要的角色。JIT的工(gōng)作原理是運用JavaScript并提前将其編譯為(wèi)機(jī)器(qì)代碼。如果浏覽器(qì)需要這些代碼，它将獲得顯著的速度提升。否則，代碼将被丢棄。 

然而，V8中的JIT支持非常複雜(zá)。Norman表示，2019年(nián)與JIT相(xiàng)關的安全問題占所有V8漏洞的45%。此外，與JIT相(xiàng)關的bug造成了超過一(yī)半的“野生(shēng)”Chrome漏洞。

Edge團隊最近進行的測試表明，盡管JIT在20世紀初中期在加速浏覽器(qì)方面發揮了關鍵作用，但它已不再是Edge性能(néng)的關鍵功能(néng)。

圖片來自(zì)微軟

被這些發現所鼓舞，Norman稱Edge團隊現在正在研究Super Duper安全模式，這是一(yī)種邊緣配置，在這種配置中，他們禁用JIT并啓用其他三種安全功能(néng)，如ControlflowEnforcement Technology（CET）和Arbitral CodeGuard（ACG）——這兩種功能(néng)通(tōng)常會(huì)與V8的JIT實現發生(shēng)沖突。

但是正如Norman所解釋的，Super Duper安全模式目前還(hái)隻是一(yī)項實驗，還(hái)沒有正式計劃将其發送給用戶。

來自(zì)于Norman的推文

雖然Super Duper安全模式還(hái)沒有一(yī)個(gè)确切的未來，但該功能(néng)已經上(shàng)線并準備測試。Edge Canary、Dev和Beta的用戶可以轉到(dào)以下(xià)地址并在其浏覽器(qì)中啓用它：

edge://flags/#edge-enable-super-duper-secure-mode

圖片來自(zì)微軟

原文鏈接：

https://therecord.media/microsoft-announces-new-super-duper-secure-mode-for-edge/