启用javascript什么用

时间:2021-09-13 来源:未知网络 作者:996建站网

漏洞研究负责人乔·哈德森(John Anderson)透露,该团队正在对Edge进行测试一项新功能,并打算禁止使用JavaScript JT编译器来启用一些额外的安全性保护。他们还给这项实验取了一个有趣而挑衅性的名称,即“ SuperDupersecureModeSDSM”。
他说,编译是一个“非常复杂的过程。很少有人理解它,而且误差很小。”但是尽管IT可以改善浏览器的性能,但同时也引入了一些漏洞。“性能和复杂性通常是代价的。我们通常以安全漏洞和后续补丁的形式承担这种成本”。
今年以后的CVE数据表明,V8发布的中约有45%的CVE与IT引擎有关。此外,攻击者还将使用这些漏洞进行武器化和滥用;Mozilla的一项分析显示,“野外” Chrome中有一半以上利用了程序员。
霍尔森指出,在简单的禁用中使用了特洛伊木(JIN)之后,这种攻击的减少可能会大大提高用户的安全性;它将消除大约一半必须修复的V8漏洞。对于用户而言,这意味着更少的安全更新和紧急补丁需求。同时,通过禁止使用JT也可以启用两种缓解措施,使利用任何渲染器过程组件中的安全漏洞变得更加困难。
“攻击的减少消除了我们在漏洞利用中看到的一半漏洞,并且使每个剩余的漏洞变得更加难以使用。换句话说,我们降低了用户的成本,但增加了攻击者的成本。”
在性能影响方面,Norman表示,当测试禁止使用Java的 Edge时,用户很少注意到日常浏览之间的差异。但是,在基准测试中,没有JAVA的Edge性能急剧下降了58%。
目前,SDSM禁止使用JT + Turbofan/Sparklock并激活CET,但暂时不与WebAssembly兼容。该团队计划在接下来的几个月中慢慢启动新的缓解措施,并增加对WebAssembl的支持。用户现在可以在 EdgeCanary,Dev和Beta的edgeof Flags下找到此功能。
霍姆(Norm)还透露,他计划将其功能引入MacOS和Android。

启用javascript什么用插图

微信扫一扫 关注公众号

微信扫一扫 使用小程序

百度扫一扫 使用小程序