Depois de uma falha de alto perfil para o navegador Edge do Windows 10 em Pwn2Own, que relatamos no início desta semana, a Microsoft voltou para o seu canto com uma discussão sobre o reforço da segurança da caixa de proteção do navegador..

Novas alterações estão chegando com a Atualização para criadores de conteúdo do Windows 10, que reforçará consideravelmente a força do sandbox quando a atualização chegar no próximo mês.

Para os não iniciados, uma caixa de areia significa simplesmente executar algo isolado do resto do sistema - em sua própria 'caixa' independente - com a intenção de garantir que um ataque a esse software não possa ser aproveitado para alcançar PC do usuário em geral.

Então, o que a Microsoft está fazendo para garantir melhor segurança? Primeiramente, a equipe Edge reduziu a "superfície de ataque" da sandbox do navegador, minimizando a quantidade de código disponível para um invasor tentar explorar e ajustando a sandbox do Edge para ser um “muito mais adequado às necessidades funcionais do software”.

A Microsoft explica em um post no blog: “Isso é muito trabalho, e é por isso que não é assim que funciona a UWP [Universal Windows Platform]. Mas como os navegadores da web estão entre alguns dos softwares mais ameaçados, vale a pena, neste caso,.”

A empresa também deixou claro que o contêiner do aplicativo Flash do navegador passou por um processo similar de ajuste manual para apertar, porque, como você provavelmente sabe, o Flash é um vetor de ataque usado com frequência..

  • Estes são os melhores mouses para jogos que você pode comprar em 2017

Indo para corretores

A Microsoft falou ainda sobre contramedidas aprimoradas em relação aos 'brokers' do Edge - código que permite acesso a recursos no PC quando necessário (como conceder acesso a um arquivo específico no computador - e apenas esse arquivo - se você fizer o upload via navegador ).

Hackear um corretor é um método potencial para escapar da caixa de areia, e a empresa notou que o aperto da caixa de areia suprimida impedia o acesso a muitos corretores, deixando menos oportunidades para explorações - e, além disso, várias novas tecnologias de mitigação de exploits. foram aplicadas aos referidos corretores.

O resultado líquido é que escapar do sandbox explorando uma interface de corretor é um prospecto muito menos provável.

Com todas essas medidas e alguns ajustes adicionais, a Microsoft está afirmando que a caixa de proteção mais apertada do Edge tem uma superfície de ataque 'significativamente' reduzida.

A gigante do software disse: “Embora a redução da superfície de ataque não garanta que um atacante não possa escapar da caixa de areia, ele reduz drasticamente as oportunidades de ataque, bem como reduzir o número de janelas e portas em uma fortaleza..”

Como já foi mencionado, quando surgiu a extravagância de hackers do Pwn2Own, o Microsoft Edge provou ser o navegador menos seguro, sendo explorado cinco vezes - muito longe do primeiro lugar do Chrome, que mantinha uma ficha limpa dos atacantes.

É provavelmente por isso que a Microsoft está disposta a falar em segurança agora e, além disso, é algo que a empresa não se esquivou de fazer no passado com o Edge..

Via: na MSFT

  • Estes são os melhores laptops para estudantes universitários usarem