Microsoft Browser Vulnerability Research (VR) チームがプレビュー版の Microsoft Edge でテスト中のセキュリティ強化モード「Super Duper Secure Mode (SDSM)」について解説している(VR のブログ記事、 The Verge の記事、 On MSFT の記事、 The Register の記事)。
Web ブラウザーに対する攻撃の主なターゲットは JavaScript エンジンのバグだ。中でもパフォーマンスを向上させる「JIT (Just-In-Time Compilation)」に関連する問題が大きな割合を占め、V8 に関する脆弱性で 2019 年以降に発行された CVE の 45 % を JIT エンジンが占めているという。さらに、Intel によるハードウェアベースのエクスプロイト緩和技術 Control-flow Enforcement Technology (CET) のように、V8 JIT と共存させることのできない脆弱性緩和技術も多い。
SDSM は JIT を無効化して脆弱性緩和技術を有効化するというもので、現在の SDSM では 2 つの JIT (TurboFan / Sparkplug)を無効化するとともに、CET が有効化される。パフォーマンス向上技術の JIT だが、無効化しても通常のブラウジングで体感できるような差は出ないようだ。今後はさらなる脆弱性緩和技術の有効化や、Web Assembly サポートの追加を行う計画だという。
SDSM を有効にするには、プレビュー版 Microsoft Edge (Bata / Dev / Canary) で「試験段階の機能 (edge://flags)」の「Super Duper Secure Mode (edge://flags/#edge-enable-super-duper-secure-mode)」を「Enabled」にしてブラウザーを再起動すればいい。
VR チームでは SDSM プロジェクトを楽しんで進めていく計画で、公式にするにはまだ早すぎることもあって面白い名前を付けたとのことだ。
| セキュリティ
| マイクロソフト
| インターネット
| Chromium
| デベロッパー
|
関連ストーリー:
Microsoft Edge Canary、自動HTTPSオプションのテストを開始
2021年05月05日
レガシーMicrosoft Edgeのサポートが終了
2021年03月11日
Chromium系ブラウザー全般に影響するV8のゼロデイ脆弱性
2021年02月06日
Firefox 72、リリース翌日にゼロデイ脆弱性修正版がリリースされる
2020年01月11日
Microsoft、Google Chromeのパッチ提供方針を批判
2017年10月21日
Mobile Pwn2Own: Android版Chromeでリモートから任意のアプリをインストール可能な脆弱性
2015年11月15日
Source: スラッシュドット
