O “Super Duper Secure Mode” do Microsoft Edge desativa o JavaScript para segurança extra

Last updated Jun 19, 2023

Desenvolvido pela Microsoft, o Microsoft Edge é um navegador web multiplataforma . Este navegador foi lançado pela primeira vez para Windows 10 e Xbox One em 2015, Android e iOS em 2017, Mac em 2019 e Linux em outubro de 2020.

Ele rapidamente ganhou popularidade e substituiu seu antecessor, " Internet Explorer 11 ", no Windows 8.1, 2002 R2, Server 2016 e Server 2019. Além disso, a Microsoft publicou planos para reconstruir o navegador como baseado em Chromium com mecanismos Blink e V8.

Hoje, a Microsoft anunciou que vai realizar um experimento em seu navegador Edge. Esse experimento desativa intencionalmente um importante recurso de desempenho e otimização para permitir atualizações de segurança mais avançadas no modo de segurança Edge Super Duper.

Jonathan Norman, que é o líder de pesquisa de vulnerabilidades do Microsoft Edge, anunciou hoje que “a ideia por trás do novo Super Duper Secure Mode é desabilitar o suporte para JIT (Just-In-Time) dentro do V8, o mecanismo JavaScript do navegador Edge".

O JIT, embora desconhecido para a maioria dos usuários, desempenha um papel fundamental nos navegadores da web. O JIT opera pegando JavaScript e organizando-o em código de máquina. Se o navegador requer o código, ele ganha um impulso de velocidade vital. Caso isso não aconteça, o código é então descartado.

No entanto, o suporte JIT no V8 é complicado. Norman disse que os problemas de segurança relacionados ao JIT representaram 45% de todas as vulnerabilidades do V8 somente em 2019. Além disso, mais da metade das explorações do Chrome ” na natureza ” dependem de bugs relacionados ao JIT.

Norman acrescenta ainda que testes recentes realizados pela equipe do Microsoft Edge revelaram que, apesar de seu papel crucial na aceleração dos navegadores, o JIT não é mais um recurso fundamental para o desempenho do Edge.

O Super Duper Secure Mode desabilita o JIT, mas ao mesmo tempo habilita dois outros recursos de segurança chamados Control-flow-Enforcement Technology (CET) e Arbitrary Code Guard (ACG) — dois recursos que normalmente entrariam em conflito com a execução JIT do V8.

O Super Duper Secure Mode está atualmente rotulado como um experimento e ainda não há planos de enviá-lo aos usuários. No entanto, esse recurso já está ativo e disponível para teste. Os usuários do Edge Canary, Dev e Beta podem acessar o seguinte endereço e habilitar esse recurso em seus navegadores Edge:

Embora ainda seja incerto se essa tecnologia será lançada como um recurso, ainda vale a pena tentar, de acordo com Jonathan Norman. Os usuários também podem testar essa tecnologia e deixar comentários valiosos para a equipe de desenvolvimento do Microsoft Edge Insider.