安全性确实是影响我们选择浏览器的一个重大因素,毕竟我们都会使用它频繁地进行各种活动,如社交联系,甚至一些更隐私的行为,如编辑敏感的私人和公司文档,以及管理自己的金融资产。这些行为都会增加潜在的攻击可能性。
微软攻防安全研究(OSR)团队的工作是提升安全性。他们的工作流程通常涉及到识别软件漏洞的利用,但他们认为,总会找到更多的漏洞,所以这不应该是他们的工作重点,他们表示关心的应该是:假设存在一个漏洞,我们该如何处理?
在这方面,微软表示自己已取得了成功,提升了几个自家产品的安全性,其中包括 Microsoft Edge。尤其是在防止远程执行代码(RCE)和隔离方面取得了重大进展。微软为了验证自己的安全策略,去研究了竞争对手在做什么,以及取得怎样的成效。
Chrome 是市场份额最高的桌面浏览器,它利用沙盒及隔离技术阻止恶意代码入侵浏览器。微软研究了谷歌的 Chrome 浏览器,他们想看看 Chrome 如何阻止一个 RCE 漏洞,并尝试回答:是否有强大的沙盒模式使浏览器足够安全?
他们发现:
-
对 CVE-2017-5121 进行研究后发现能在现代浏览器中找到可远程利用的漏洞
-
在沙箱内进行的几次安全检查发现 RCE 能够绕过同源政策(SOP),使 RCE 攻击者能够访问受害者的在线服务(如电子邮件,文档和银行会话)并保存凭据
-
Chrome 的漏洞处理流程可能导致公开披露安全漏洞的细节
可以看到,微软的安全团队对 Chrome 进行研究之后发现 Chrome 允许在浏览器上执行恶意代码。漏洞存在于 Chrome 的 Javascript 引擎中,微软表示已经通知了 Google,漏洞也已在上个月进行修复,微软还得到了 Google 的 7500 美元赏金。微软称,它的 Edge 浏览器不存在类似的安全漏洞。
来自:
https://blogs.technet.microsoft.com/mmpc/2017/10/18/browser-security-beyond-sandboxing/
