Windows 10 的新瀏覽器Microsoft Edge:有改進但也有新風險

本部落格討論了 Windows 10的新瀏覽器 Microsoft Edge 相對於Internet Explorer在安全性方面有顯著的加強。然而,它也存在著舊版本所沒有的新潛在威脅來源。

安全 通用

整合外掛程式

Microsoft Edge現在已經整合進兩個被廣泛使用的外掛程式:Adobe Flash和PDF閱讀程式。Flash已經證明為顯著安全風險多年。我們都認為使用者和網站應該遠離它,但現實是,在可預見的未來Flash並不會消失。針對Flash的攻擊將持續成為問題,將它作為內建功能可能會在之後帶來風險。

同樣地,模組windows.data.pdf.dll中整合了PDF閱讀程式。這也可能成為攻擊者想攻下Edge瀏覽器時的潛在目標。

雖然這些代表了潛在攻擊來源,只要設計得當還是可以保持相對安全。無論Google Chrome或Mozilla Firefox瀏覽器都已經整合外掛程式而沒有重大問題;正確的實作方式可以減少不安全外掛程式的風險。

此外,整合Flash代表可以透過Windows Update更新,減低使用者執行舊Flash版本的風險。(注意,這並非前所未有:自Windows 8的Internet Explorer 10以來就是這樣

支援asm.js

Edge的一個新功能是支援asm.js。這是Mozilla所開發的JavaScript子集,設計來執行的比傳統程式碼更快。實際上,它轉換C/C ++/等程式碼成JavaScript程式碼,如果瀏覽器支持asm.js就可以執行的更快。LLVM編譯器負責這個動作。

 

g

圖1、asm.js流程圖

 

在其他瀏覽器中,支援asm.js已經導致安全問題。在2015年的Pwn2Own競賽中,Mozilla Firefox瀏覽器實作asm.js的一個漏洞(CVE-2015-0817)被用來成功地掌控瀏覽器。因此,我們也不能排除它成為Microsoft Edge漏洞來源的可能性。

新的擴充功能模式

Microsoft Edge會在Windows 10推出後引進改良的擴充功能支援。根據了解,只要經過相對較少的修改就可以將Chrome和Firefox的擴充功能給Microsoft Edge使用,但其他細節尚未明朗。

這些擴充功能會在AppContainer沙箱中執行,但沙箱逃脫漏洞可以被用來躲掉這一點。此外,也不能肯定不會出現惡意擴充功能 – 無論是一開始就是惡意,或是正常的擴充功能經過更新而被修改成惡意。

然而,將與Windows 10一起推出的Edge版本尚未支援擴充功能。

瀏覽器安全性比較

以下表格比較了各瀏覽器的功能、防護能力和受攻擊面。

圖2、漏洞攻擊緩解功能(Edge與IE 11

 

雖然IE 11支援EPM沙箱,但預設只使用PM沙箱。IE 11渲染(rendering)程序預設也是32位元。

圖3、受攻擊面

 

圖4、漏洞攻擊緩解功能(主要瀏覽器)

 

總結

Microsoft Edge跟Internet Explorer 11比較起來有顯著地進步。具體地說,加強的沙箱功能和漏洞攻擊緩解技術讓攻擊Edge變得比之前更加困難。另外,拿掉未使用的舊功能也減少對瀏覽器的可能攻擊來源。

總體而言,我們認為Edge已經達到跟Google Chrome同等的安全性,兩個都明顯地優於Mozilla Firefox。然而,仍然存在多個受攻擊面可以讓攻擊者利用。鑑於現代瀏覽器的複雜性和功能需求,這很可能是在所難免。

 

@原文出處:Windows 10’s New Browser Microsoft Edge: Improved, But Also New Risks作者:Henry Li(威脅分析師)

⊙延伸閱讀:Windows 10 推出 Microsoft Edge 來強化瀏覽器安全性

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。

▼ 歡迎加入趨勢科技社群網站▼

好友人數

【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

Windows10Banner-540x90v5

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載