Windows10的新瀏覽器Edge相比IE在顯著提升了安全性能的同時，也隨之帶來了舊版中并不存在的新型潛在威脅。

集成插件

微軟Edge瀏覽器中有兩個被廣泛使用的插件：Adobe Flash以及一個PDF閱讀器。多年以來，F(xiàn)lash已經(jīng)證明了自己是一個重大的安全隱患。盡管我們認為用戶和網(wǎng)站都應(yīng)遠離Flash，而情況卻是在可預見的未來Flash不會消失。但是針對Flash的攻擊仍將繼續(xù)，微軟將Flash作為一項內(nèi)置功能，只能說是勇氣可嘉。

同樣，集成PDF閱讀器出現(xiàn)在模塊windows.data.pdf.dll中，這也潛在為攻擊者提供了一個進入Edge瀏覽器的路徑。

盡管這些都存在潛在的風險向量，而恰當?shù)厥褂萌钥杀Ｕ舷鄬Φ陌踩浴Ｍ瑯邮沁\用集成插件的Google Chrome和Firefox并沒有什么重大問題出現(xiàn)，而合理利用則可以降低風險。

此外，融合Flash也就意味著可以更隨windows更新，F(xiàn)lash也獲得更新，這樣便可以降低用戶運行低版本Flash時所產(chǎn)生的巨大風險。(注意，這并非首次出現(xiàn)：在Windows 8中IE瀏覽器已經(jīng)如此了。)

支持asm.js

Edge與Chrome都支持asm.js。這一原本來自于Mozilla的asm.js，提供了一種讓由C、C++或其它語言編寫的原生代碼在瀏覽器端運行的途徑。sm.js中包含了JavaScript的一個嚴格子集 —— 包括嚴格類型的整數(shù)、浮點數(shù)、數(shù)值計算、函數(shù)調(diào)用和堆訪問，這對速度起到優(yōu)化作用。實際上，就是將其他代碼轉(zhuǎn)化成JS代碼。LLVM編譯器負責這一任務(wù)。

然而，在其他支持asm.js的瀏覽器中都出現(xiàn)了安全問題。2015年度Pwn2Own比賽中，一個Mozilla Firefox中asm.js實現(xiàn)中的漏洞(CVE-2015-0817)被用于成功破解了瀏覽器。因此，我們無法排除這樣的危險性，未來微軟Edge瀏覽器也可能從這里被搞定。

新拓展模型

Edge將會在推出Windows10之后的某個時間發(fā)布升級的擴展支持。而Chrome和Firefox的擴展可以在相對稍加修改的基礎(chǔ)上用于微軟Edge當中，但是具體的細節(jié)尚不明確。

而這些擴展將在AppContainer沙盒中運行，但是沙盒逃逸漏洞可以被用于逃逸。此外，不能排除會有惡意擴展出現(xiàn)——要么一開始就是惡意擴展，要么就是一個合規(guī)的擴展被修改后進而成為一個惡意項目。

然而，Edge目前尚沒有支持任何擴展。

瀏覽器安全性PK

下面的表格中顯示了不同瀏覽器多特性、保護能力以及受攻擊面的比較。

盡管IE 11支持EPM沙盒，但在默認情況下只是用PM沙盒。IE 11在默認的渲染流程為32-bit。

圖為受攻擊平面

主流瀏覽器exp緩解性能

總結(jié)

Edge相較IE 11而言確實有一個明顯的改善，特別是在升級的沙箱和利用減排技能讓破解Edge變得更加困難。此外，刪除過去不被使用的那些功能也減少了針對瀏覽器發(fā)出的攻擊向量。

總的來說，我們認為Edge已經(jīng)到達了能與Chrome比肩的地步，二者都同樣明顯地優(yōu)于Firefox。然而，不容樂觀的是Edge仍存在許多攻擊者可以突破的地方?？紤]到現(xiàn)在瀏覽器復雜的需求，這或許也是現(xiàn)實無法避免的。