Microsoft ha anunciado que el equipo de Investigación de Vulnerabilidades de Edge está experimentando con una nueva función llamada “Modo Super Seguro” diseñada para brindar mejoras de seguridad sin pérdidas significativas de rendimiento.
Cuando se activa, el nuevo Modo Super Seguro de Microsoft Edge eliminará la Compilación Just-In-Time (JIT) del pipeline de procesamiento de V8, reduciendo la superficie de ataque que los actores malintencionados pueden usar para hackear los sistemas de los usuarios de Edge.
Seguridad sin un gran impacto en el rendimiento
Según los datos de CVE (Vulnerabilidades y Exposiciones Comunes) recopilados desde 2019, alrededor del 45% de las vulnerabilidades encontradas en el motor V8 de JavaScript y WebAssembly estaban relacionadas con el motor JIT, más de la mitad de todos los exploits de Chrome ‘en la naturaleza’ que abusan de los errores JIT.
“Esta reducción de la superficie de ataque tiene el potencial de mejorar significativamente la seguridad del usuario; eliminaría aproximadamente la mitad de los errores de V8 que deben corregirse”, explicó Johnathan Norman, Líder de Investigación de Vulnerabilidades de Microsoft Edge.
“Esta reducción en la superficie de ataque elimina la mitad de los errores que vemos en exploits y cada error restante se vuelve más difícil de explotar. Dicho de otra manera, reducimos los costos para los usuarios pero aumentamos los costos para los atacantes”.
Además, aunque el compilador JIT está diseñado para aumentar el rendimiento compilando el código durante la ejecución del programa (en tiempo de ejecución), deshabilitarlo en el Modo Super Seguro “no siempre tiene impactos negativos”.
Aunque aún está en la etapa experimental, el Modo Super Seguro se puede habilitar por los usuarios de versiones de prelanzamiento de Microsoft Edge (incluidas Beta, Dev y Canary) yendo a edge://flags/#edge-enable-super-duper-secure-mode y activando la nueva función.
Imagen: BleepingComputer
En este momento, cuando se activa, el Modo Super Seguro deshabilita JIT (TurboFan/Sparkplug) y habilita la Tecnología de Ejecución de Flujo de Control (CET), una mitigación de explotación basada en hardware de Intel diseñada para proporcionar una experiencia de navegación más segura.
En el futuro, Microsoft también quiere agregar soporte para el Guardia de Código Arbitrario (ACG), otra mitigación de seguridad que evitaría cargar código malicioso en la memoria, una técnica utilizada por la mayoría de los exploits de los navegadores web.
“Por supuesto, esto es solo un experimento; las cosas están sujetas a cambios y tenemos varios desafíos técnicos que superar”, concluyó Norman.
“Además, nuestro nombre en tono jocoso probablemente tendrá que cambiar a algo más profesional cuando lo lancemos como función. Por ahora, vamos a seguir divirtiéndonos con esto”.
No estoy seguro de si esto se convertirá en una función. Pero creo que este experimento vale la pena. Si lo pruebas, por favor comparte tus comentarios en Edge (haz clic en los 3 puntos -> comentarios) o publica en el foro https://t.co/As3jeqMSyC. Estamos ansiosos por ver si esto es algo que los usuarios desean. 7/?
— Johnathan Norman (@spoofyroot) 4 de agosto de 2021