正在阅读:

【JMedia】身缠IE旧疾,微软的新浏览器Edge还安全吗? 

扫一扫下载界面新闻APP

【JMedia】身缠IE旧疾,微软的新浏览器Edge还安全吗? 

微软最新推出的Microsoft Edge浏览器,与IE有许多相同之处。一份记录了最近五个月软件更新的调查显示,IE中存在的100个漏洞,其中25个也在Microsoft Edge上出现过。

微软最新推出的Microsoft Edge浏览器,与IE有着许多相同之处,而且比想象中的还要多一些——特别是在提到两者的安全漏洞时候。一份记录了最近五个月每月软件更新的调查显示,IE中存在的100个漏洞,其中25个也在Microsoft Edge上出现过。

12月8日微软公布的MS15-124号IE累积安全更新,与MS15-125号Microsoft Edge累积安全更新的内容大致上都是一样的:在IE上进行的15个修复,其中11个也用在了Microsoft Edge上;只有四个4个Microsoft Edge特有的bug,与IE没有关联。

需要说明的是,这次的更新是自Microsoft Edge在Windows 10上发布以来,修复漏洞数量最多的一次。

随着IE漏洞直接影响到Microsoft Edge的事实浮出水面,不止一位安全专家开始质疑:Microsoft Edge是不是在IE的“臭老底子”之上建立的?鉴于在Microsoft Edge上发现的漏洞数量远远低于IE,我们有理由把Microsoft Edge视作一款安全的浏览器。但是,我们真的敢说“Microsoft Edge比IE更安全”吗?

今年早些时候微软的官方博客中表明过,新的浏览器为Windows 10专属产品,并且被设计用来“帮助用户抵御日益复杂和流行的网络攻击”。

为了达到这个目标,Microsoft Edge放弃了一些老旧且存在缺陷的插件和框架,诸如ActiveX以及Browser Helper Objects(BHO)。这么做有助于抵御一部分黑客常用的挂马攻击;而Microsoft Edge新使用的EdgeHTML内核,却是从IE的内核Trident衍生出来的产物。

然而现在并没有人知道,Microsoft Edge中到底有多少行代码与IE的老旧内核没有关联。

面对这个问题,微软并没有透露更多。在一份言辞清晰的声明中,发言人这样说到:

Microsoft Edge所用的通用代码库,全部没有IE遗留的附加架构。Edge是完全从头开始设计的,如果微软有选择性的与IE分享代码的话,那他们一定会有自己的道理。

面对这个问题,专家们也有着各自的看法。安全公司Tripwire的安全研究与建设经理Tyler Reguly认为,一些代码或者库的重叠造成的漏洞不针对任何一个浏览器。

“当你的项目大到和一个主力网页浏览器一样是,想要去掉项目的特定代码和支持项目的底层API是极不可能发生的,这种情况造成的重叠是必然发生的。这些API将会在浏览器上得到应用并且在浏览器之间也会非常普遍。如果你在同一系统上运行IE和Microsoft Edge,你会发现他们会加载相同的DLL。”

当然,也有持相反观点的专家。FireEye研究科学经理Dan Caselden表示,如果一个bug出现在两个浏览器上,那么通常情况下是两款浏览器共享了代码造成的:“的确会有一些因为两种不同的实现路径而导致同一种错误发生,比如设计层的漏洞。但这种事情发生的概率极小。”

既然有共享代码出现漏洞的情况确实会发生,那么问题又回到了原点:有多少源自IE的代码遗留在了Microsoft Edge之中?更为关键的是,一旦发现任何一行代码与两款浏览器的漏洞有关联,那将会对Microsoft Edge用户的安全造成威胁。

但随着每个月不可预测漏洞的数量以及严重性评级,一款浏览器的安全价值也会随之变化。

所有旧版本的IE浏览器将于1月中旬退役,百余万使用老版本的用户还有一个月的时间升级IE11,或者使用Windows 10的Microsoft Edge浏览器。但是,即使将IE升级到了最新的版本,或者使用了漏洞数量更少的Microsoft Edge,用户在面对越来越复杂的网络环境时,这些浏览器所提供的安全保障却仍然存疑。(文/子默)

本文为转载内容,授权事宜请联系原著作权人。

评论

暂无评论哦,快来评价一下吧!

下载界面新闻

微信公众号

微博

【JMedia】身缠IE旧疾,微软的新浏览器Edge还安全吗? 

微软最新推出的Microsoft Edge浏览器,与IE有许多相同之处。一份记录了最近五个月软件更新的调查显示,IE中存在的100个漏洞,其中25个也在Microsoft Edge上出现过。

微软最新推出的Microsoft Edge浏览器,与IE有着许多相同之处,而且比想象中的还要多一些——特别是在提到两者的安全漏洞时候。一份记录了最近五个月每月软件更新的调查显示,IE中存在的100个漏洞,其中25个也在Microsoft Edge上出现过。

12月8日微软公布的MS15-124号IE累积安全更新,与MS15-125号Microsoft Edge累积安全更新的内容大致上都是一样的:在IE上进行的15个修复,其中11个也用在了Microsoft Edge上;只有四个4个Microsoft Edge特有的bug,与IE没有关联。

需要说明的是,这次的更新是自Microsoft Edge在Windows 10上发布以来,修复漏洞数量最多的一次。

随着IE漏洞直接影响到Microsoft Edge的事实浮出水面,不止一位安全专家开始质疑:Microsoft Edge是不是在IE的“臭老底子”之上建立的?鉴于在Microsoft Edge上发现的漏洞数量远远低于IE,我们有理由把Microsoft Edge视作一款安全的浏览器。但是,我们真的敢说“Microsoft Edge比IE更安全”吗?

今年早些时候微软的官方博客中表明过,新的浏览器为Windows 10专属产品,并且被设计用来“帮助用户抵御日益复杂和流行的网络攻击”。

为了达到这个目标,Microsoft Edge放弃了一些老旧且存在缺陷的插件和框架,诸如ActiveX以及Browser Helper Objects(BHO)。这么做有助于抵御一部分黑客常用的挂马攻击;而Microsoft Edge新使用的EdgeHTML内核,却是从IE的内核Trident衍生出来的产物。

然而现在并没有人知道,Microsoft Edge中到底有多少行代码与IE的老旧内核没有关联。

面对这个问题,微软并没有透露更多。在一份言辞清晰的声明中,发言人这样说到:

Microsoft Edge所用的通用代码库,全部没有IE遗留的附加架构。Edge是完全从头开始设计的,如果微软有选择性的与IE分享代码的话,那他们一定会有自己的道理。

面对这个问题,专家们也有着各自的看法。安全公司Tripwire的安全研究与建设经理Tyler Reguly认为,一些代码或者库的重叠造成的漏洞不针对任何一个浏览器。

“当你的项目大到和一个主力网页浏览器一样是,想要去掉项目的特定代码和支持项目的底层API是极不可能发生的,这种情况造成的重叠是必然发生的。这些API将会在浏览器上得到应用并且在浏览器之间也会非常普遍。如果你在同一系统上运行IE和Microsoft Edge,你会发现他们会加载相同的DLL。”

当然,也有持相反观点的专家。FireEye研究科学经理Dan Caselden表示,如果一个bug出现在两个浏览器上,那么通常情况下是两款浏览器共享了代码造成的:“的确会有一些因为两种不同的实现路径而导致同一种错误发生,比如设计层的漏洞。但这种事情发生的概率极小。”

既然有共享代码出现漏洞的情况确实会发生,那么问题又回到了原点:有多少源自IE的代码遗留在了Microsoft Edge之中?更为关键的是,一旦发现任何一行代码与两款浏览器的漏洞有关联,那将会对Microsoft Edge用户的安全造成威胁。

但随着每个月不可预测漏洞的数量以及严重性评级,一款浏览器的安全价值也会随之变化。

所有旧版本的IE浏览器将于1月中旬退役,百余万使用老版本的用户还有一个月的时间升级IE11,或者使用Windows 10的Microsoft Edge浏览器。但是,即使将IE升级到了最新的版本,或者使用了漏洞数量更少的Microsoft Edge,用户在面对越来越复杂的网络环境时,这些浏览器所提供的安全保障却仍然存疑。(文/子默)

本文为转载内容,授权事宜请联系原著作权人。