Microsoft Edge ajoute le mode sécurisé Super Duper au canal stable

Microsoft Edge adds Super Duper Secure Mode to Stable channel

Microsoft a discrètement ajouté un « mode sécurisé Super Duper » au navigateur Web Microsoft Edge, une nouvelle fonctionnalité qui apporte des améliorations de sécurité sans pertes de performances significatives.

Les utilisateurs peuvent activer le mode sécurisé Super Duper après la mise à niveau d’Edge vers la version stable 96.0.1054.29 ou ultérieure, et ils peuvent basculer entre les modes équilibré et strict pour différents niveaux d’augmentation de la sécurité.

La nouvelle fonctionnalité, en cours de test par l’équipe Edge Vulnerability Research depuis août, supprime la compilation juste-à-temps (JIT) du pipeline de traitement V8, réduisant ainsi la surface d’attaque que les acteurs de la menace peuvent exploiter pour pirater les systèmes des utilisateurs Edge.

Microsoft décrit le mode sécurisé Super Duper comme « un mode de navigation dans Microsoft Edge où la sécurité de votre navigateur est prioritaire, vous offrant une couche de protection supplémentaire lorsque vous naviguez sur le Web ».

« Nous avons discrètement sorti le mode sécurisé Super Duper en version stable (96.0.1054.29) » mentionné Johnathan Norman, responsable de la recherche sur les vulnérabilités Microsoft Edge.

« Balanced apprend quels sites vous utilisez souvent et leur fait confiance, strict c’est bien… strict 🙂 Les utilisateurs peuvent désormais ajouter leurs propres exceptions. »

Activation du mode sécurisé Super Duper dans Microsoft Edge
Activation du mode sécurisé Super Duper dans Microsoft Edge (EZpublish-france.fr)

Lorsqu’il est activé, le mode sécurisé Super Duper désactive JIT (TurboFan/Sparkplug) et active le Technologie d’application des flux de contrôle (CET), une atténuation des exploits basée sur le matériel qui offre une expérience de navigation plus sécurisée.

Comme Norman l’a révélé en août lorsque la fonctionnalité a été annoncée pour la première fois, environ 45% de toutes les vulnérabilités de sécurité trouvées dans le moteur JavaScript et WebAssembly V8 étaient liées au moteur JIT, représentant plus de la moitié de tous les exploits Chrome « à l’état sauvage » abusant des bugs JIT. .

En désactivant JIT, la surface d’attaque est considérablement réduite en supprimant près de la moitié des bugs du V8 qui devraient être corrigés.

« Cette réduction de la surface d’attaque tue la moitié des bugs que nous voyons dans les exploits et chaque bug restant devient plus difficile à exploiter. En d’autres termes, nous réduisons les coûts pour les utilisateurs mais augmentons les coûts pour les attaquants », a expliqué Norman.

À l’avenir, Microsoft vise à inclure la prise en charge de Garde de code arbitraire (ACG) en mode Super Duper Secure, une autre atténuation de sécurité qui empêcherait les attaquants de charger du code malveillant en mémoire, une technique connue utilisée par la plupart des exploits de navigateur Web.

L’équipe Edge Vulnerability Research prévoit également de livrer la nouvelle fonctionnalité avec les versions Android et macOS Edge.