軟件巨頭微軟發(fā)力將用戶推離舊版本Internet Explorer。但從漏洞的角度來看，Windows 10的新瀏覽器有多安全呢?

[[159674]]

大家可能沒想到，微軟的新瀏覽器Edge與Internet Explorer有不少相同的地方，特別是涉及到安全漏洞時是這樣。

根據(jù)過去5個月的軟件更新分析表明，Edge與Internet Explorer共享了25個漏洞。Internet Explorer共有100個漏洞。

在本月初計劃中的周二補(bǔ)丁更新里，微軟發(fā)布了MS15-124和MS15-125;MS15-124是用于Internet Explorer的累積更新，MS15-125和MS15-124幾乎一樣，是用于Edge的。Internet Explorer被修補(bǔ)漏洞達(dá)15個，其中的11個出現(xiàn)在Edge里，需要修補(bǔ)。

12月份的月度更新列表里有4個漏洞是Edge特有的，這4個漏洞不影響IE瀏覽器。

自Edge隨Windows 10在今年早些時候發(fā)布以來，12月里修補(bǔ)Edge的漏洞次數(shù)最多。

四分之一的IE瀏覽器漏洞亦影響到Edge。因此至少有一位評論家質(zhì)疑Edge是不是建在一個“爛掉的老底子”上。由于在Edge發(fā)現(xiàn)的漏洞數(shù)量遠(yuǎn)遠(yuǎn)低于IE瀏覽器，要是說Edge看起來是個更安全的瀏覽器也不是沒有道理。但Edge真的比Internet Explorer更安全嗎?

根據(jù)微軟年前發(fā)布的博客文章里的資料，軟件巨頭微軟的最新瀏覽器是Windows 10專用的，最新瀏覽器的設(shè)計號稱可以“保護(hù)用戶不受日益復(fù)雜和經(jīng)常發(fā)生的攻擊”。

為達(dá)到此目的，Edge廢棄了舊的、不安全的或者有缺陷的插件或框架，如ActiveX或瀏覽器幫助對象。這些有助于減少一些攻擊者傳統(tǒng)上順手就可以使用的攻擊。Edge渲染引擎用的是EdgeHTML。EdgeHTML是從Trident衍生出來的，而Trident則仍然驅(qū)動著Internet Explorer。

然而，目前大家不清楚Edge代碼有多少仍然是基于舊的Internet Explorer代碼。

曾有人問起過，但微軟透露的不多。發(fā)言人表示(為簡明起見，我們刪掉了一些東西)：

“Edge的不同設(shè)備版本共享一個通用代碼庫，并不含Internet Explorer的傳統(tǒng)插件架構(gòu)。盡管是另起爐灶的設(shè)計，但有時候共用代碼有可取之處，在這些情況下微軟有選擇地共用了Edge和Internet Explorer之間的一些代碼。”

安全公司Tripwire的安全研究和開發(fā)經(jīng)理Tyler Reguly在一封電子郵件中表示，代碼程序庫的重疊會導(dǎo)致那些不單單出現(xiàn)在一個瀏覽器里漏洞的出現(xiàn)。

他表示，“像這種大型網(wǎng)絡(luò)瀏覽器項目，扔掉只針對某個項目的代碼以及下面的支持API的做法極少見的，在這些情況下必然有重疊。”

他稱，“網(wǎng)絡(luò)瀏覽器用到許多API，瀏覽器之間仍然有通用的API。如果在系統(tǒng)里運(yùn)行微軟Edge和Internet Explorer，就會發(fā)現(xiàn)二者都會加載一些重疊的DLL庫。”

FireEye的研究科學(xué)經(jīng)理Dan Caselden表示，如果兩個瀏覽器打同樣的補(bǔ)丁，比較典型的情況是因為二者共享代碼。

Caselden表示，“偶爾有幾個補(bǔ)丁可能是因為兩種不同的實現(xiàn)方法引入了同樣的錯誤，比如設(shè)計層次的毛病。但我敢打賭，這種情況很少發(fā)生。”

到底Internet Explorer代碼有多少被保留在Edge里，這是個大問題。更為關(guān)鍵的是，那些代碼與兩個瀏覽器的重疊漏洞是否有關(guān)系，而兩個瀏覽器的重疊漏洞對Edge用戶構(gòu)成風(fēng)險。

歸根結(jié)底，要說一個瀏覽器比另一個瀏覽器更安全或更不安全即便不是不可能的話也是很難的。

所謂的“危急”補(bǔ)丁是指那些修復(fù)最嚴(yán)重漏洞的補(bǔ)丁。“危急”補(bǔ)丁可以說一個動態(tài)指標(biāo)，但這個指標(biāo)需要考慮漏洞的詳細(xì)信息以及漏洞有沒有被攻擊者利用。由于每個月發(fā)布的補(bǔ)丁數(shù)無法預(yù)測，再加上考慮到相應(yīng)的補(bǔ)丁嚴(yán)重等級，一款瀏覽器的安全指數(shù)每個月是不一樣的。

舊版本Internet Explorer將于明年1月中旬退役，數(shù)以百萬計的用戶有大約一個月的時間升級到Internet Explorer 11或是Windows 10的Edge。