Microsoft Edge a ajouté une nouvelle fonctionnalité de sécurité à sa prochaine version bêta, promettant une sécurité contre les vulnérabilités inconnues du jour zéro que des acteurs malveillants pourraient exploiter pour distribuer des logiciels malveillants, des rançongiciels ou d’autres méchants.
Selon les notes de publication du correctif du navigateur, les administrateurs pourront appliquer les stratégies de groupe suivantes aux postes de travail des utilisateurs finaux sous Windows, macOS et Linux : EnhanceSecurityMode, EnhanceSecurityModeBypassListDomains et EnhanceSecurityModeEnforceListDomains.
Lorsqu’elles sont activées, les politiques apportent la protection contre la pile appliquée par le matériel, la protection contre le code arbitraire (ACG) et la protection du flux de contenu (CFG) comme mesures d’atténuation de la sécurité, a expliqué Microsoft.
Sommaire
Protection par mot de passe à remplissage automatique
« Ces politiques permettent également aux sites importants et aux applications métier de continuer à fonctionner comme prévu », affirme la société. « Cette fonctionnalité est un énorme pas en avant car elle nous permet d’atténuer les jours zéro actifs imprévus (sur la base des tendances historiques). »
Ce niveau supplémentaire de protection contre les zero-days inconnus a été ajouté à la version 98.0.1108.23 d’Edge Beta.
Microsoft a également déclaré qu’il modifiait la façon dont le navigateur remplit automatiquement les mots de passe. Dans l’état actuel des choses, le navigateur permet déjà aux utilisateurs d’ajouter un mot de passe supplémentaire que l’utilisateur doit connaître, avant d’autoriser le navigateur à remplir automatiquement d’autres champs de mot de passe. Avec la nouvelle fonctionnalité, appelée Mots de passe principaux personnalisés, les utilisateurs pourront s’authentifier une fois et faire remplir automatiquement leurs mots de passe enregistrés dans des formulaires Web.
En plus de cela, la société a ajouté le mode Super Duper Secure au canal Edge Stable, rapporte BleepingComputer. Cette fonctionnalité supprime la compilation juste-à-temps (JIT) du pipeline de traitement V8 d’Edge, « réduisant considérablement » la surface d’attaque.
« Cette réduction de la surface d’attaque tue la moitié des bogues que nous voyons dans les exploits et chaque bogue restant devient plus difficile à exploiter. En d’autres termes, nous réduisons les coûts pour les utilisateurs mais augmentons les coûts pour les attaquants », cite Johnathan Norman, Microsoft. Responsable de la recherche sur les vulnérabilités Edge.
La société vise à ce que le Super Duper Secure Mode prenne en charge Arbitrary Code Guard.
Via : BleepingComputer
