本部落格討論了 Windows 10的新瀏覽器 Microsoft Edge 相對於Internet Explorer在安全性方面有顯著的加強。然而,它也存在著舊版本所沒有的新潛在威脅來源。
整合外掛程式
Microsoft Edge現在已經整合進兩個被廣泛使用的外掛程式:Adobe Flash和PDF閱讀程式。Flash已經證明為顯著安全風險多年。我們都認為使用者和網站應該遠離它,但現實是,在可預見的未來Flash並不會消失。針對Flash的攻擊將持續成為問題,將它作為內建功能可能會在之後帶來風險。
同樣地,模組windows.data.pdf.dll中整合了PDF閱讀程式。這也可能成為攻擊者想攻下Edge瀏覽器時的潛在目標。
雖然這些代表了潛在攻擊來源,只要設計得當還是可以保持相對安全。無論Google Chrome或Mozilla Firefox瀏覽器都已經整合外掛程式而沒有重大問題;正確的實作方式可以減少不安全外掛程式的風險。
此外,整合Flash代表可以透過Windows Update更新,減低使用者執行舊Flash版本的風險。(注意,這並非前所未有:自Windows 8的Internet Explorer 10以來就是這樣)
支援asm.js
Edge的一個新功能是支援asm.js。這是Mozilla所開發的JavaScript子集,設計來執行的比傳統程式碼更快。實際上,它轉換C/C ++/等程式碼成JavaScript程式碼,如果瀏覽器支持asm.js就可以執行的更快。LLVM編譯器負責這個動作。
g圖1、asm.js流程圖
在其他瀏覽器中,支援asm.js已經導致安全問題。在2015年的Pwn2Own競賽中,Mozilla Firefox瀏覽器實作asm.js的一個漏洞(CVE-2015-0817)被用來成功地掌控瀏覽器。因此,我們也不能排除它成為Microsoft Edge漏洞來源的可能性。