微软Edge 98添加可缓解未知零时差漏洞攻击的功能

微软本周发布最新Microsoft Edge 98测试版，其中一项新功能宣称可缓解未知零时差漏洞遭黑客攻击。

Edge 98.0.1108.23目前发布到Beta版频道给测试用户。新版主要增加了二项安全功能。首先是一项新的上网安全功能，在以Edge浏览器上网时增添多一层防护。这项功能让管理员在用户PC机启动3项群组政策，包括EnhanceSecurityMode、EnhanceSecurityModeBypassListDomains、EnhanceSecurityModeEnforceListDomains，以防止零时差漏洞攻击。

当启动这项功能，即启动硬件强制执行的堆栈防护（Hardware-enforced Stack Protection）、任意程序代码防御（Arbitrary Code Guard，ACG）及内容流程防御（Content Flow Guard，CFG）。

Edge 98的新功能是去年11月微软Edge 96加入“超强安全模式”（Super Duper Secure Mode，SDSM）后的续集。SDSM主要目的在关闭Edge的JavaScript Just-In-Time Compilation（JIT）编译器，以减少浏览器安全威胁，因为JIT所属的Chromium V8 JavaScript引擎经常发现漏洞，而且JIT和ACG也不兼容。新版Edge 98将可在没有JIT的环境中部署ACG及CFG，以防范恶意程序活动。

微软表示这项功能可利用历史记录分析，缓解“未预见”的零时差攻击活动，声称是安全防护的“一大进步”。此外这些政策也有助于确保重要网站和商务应用的正常运行。

第二项安全功能则是自订主密码。和其他浏览器一样，Edge也让用户存储网站密码，以便日后自动填入登录表单中、加速登录网站。因此为了安全起见，现有的Edge已让用户在存储密码前加入验证步骤，防止他人利用存储的密码来登录网站。Edge 98新功能则是在此基础上多一层保护；启动本功能后，用户必须先输入一个主密码验证自己身份，再存储密码。

最新版Edge还另外加入了Overlay scrollbar，用户可以经由“edge://flags”启动功能。