Afin d’améliorer la sécurité du navigateur Edge, les ingénieurs de Microsoft sont en train d’explorer une nouvelle piste : la désactivation de la compilation à la volée (ou Just-in-time compilation, JIT). Il s’agit là d’une fonction qui permet d’accélérer le chargement de pages contenant du code JavaScript. Ce dernier est transformé à la volée en bytecode, une représentation intermédiaire du programme qui se situe entre le code source et le code machine, puis exécuté selon un processus plutôt complexe.
Mais cette compilation à la volée est également source de nombreuses failles de sécurité. Depuis 2019, environ 45 % des failles du moteur JavaScript V8 sont liées au JIT. Inversement, et c’est un peu la double peine, la compilation à la volée empêche l’implémentation d’un certain nombre mécanismes de protection comme ControlFlow Enforcement Technology (CET) ou Arbitrary Code Guard (ACG).
Or, des tests réalisés par Microsoft montrent qu’il n’y a pas, en cas de désactivation du JIT, forcément des baisses de performances. Cela dépend du type de pages qui sont chargées. La baisse sera importante pour un jeu en ligne, mais quasi nulle pour un blog. Parfois, l’effet est même positif !
Les ingénieurs de Redmond sont donc en train de chercher l’équilibre entre une baisse de performance acceptable et un gain en sécurité souhaitable. Le résultat est une fonctionnalité expérimentale baptisée « Super Duper Security Mode » que l’on peut activer dans les versions Beta, Dev et Canary sous l’URL « edge://flags ». Actuellement, elle désactive le JIT et implémente le CET. D’autres changements sont prévus… dont le nom qui n’est évidemment que provisoire.
Source : Microsoft
Mots-clés : cybersécurité, sécurité informatique, protection des données, menaces cybernétiques, veille cyber, analyse de vulnérabilités, sécurité des réseaux, cyberattaques, conformité RGPD, NIS2, DORA, PCIDSS, DEVSECOPS, eSANTE, intelligence artificielle, IA en cybersécurité, apprentissage automatique, deep learning, algorithmes de sécurité, détection des anomalies, systèmes intelligents, automatisation de la sécurité, IA pour la prévention des cyberattaques.
Bots et IA biaisées : une menace silencieuse pour la cybersécurité des entreprises Introduction Les…
Cloudflare en Panne : Causes Officielles, Impacts et Risques pour les Entreprises Le 5 décembre…
Introduction La cybersécurité est aujourd’hui une priorité mondiale. Récemment, la CISA (Cybersecurity and Infrastructure Security…
La transformation numérique face aux nouvelles menaces Le cloud computing s’impose aujourd’hui comme un…
Les attaques par déni de service distribué (DDoS) continuent d'évoluer en sophistication et en ampleur,…
Face à l'adoption croissante des technologies d'IA dans les PME, une nouvelle menace cybersécuritaire émerge…
This website uses cookies.