過去一年時間裡,微軟為 Edge 的行銷可謂傾盡全力,而且每一次宣傳幾乎都在做同樣的事情,比如“最快、最安全”,畢竟 Edge 流覽器花了微軟好幾年時間去研發,投入非常大。其中“最安全”是微軟宣傳最多的一個特性,多次吹噓比穀歌 Chrome 以及 Mozilla Firefox 可提供更好的安全防護。
然而,3 月 16 日在加拿大溫哥華舉行的 Pwn2Own 2017 世界駭客大賽上,來自中國的 Ether 戰隊在首日比賽中就成功攻破了微軟的 Edge 流覽器,成為第一支攻破這一流覽器的團隊,並且以全額積分 10 分的成績獲得了單項專案的 8 萬美元獎金。
該團隊表示,Edge 本身就有強大的安全措施,再加上 Windows 10 系統保護,極難攻破,可以說是當前最安全的網頁流覽器。但最終 Ether 戰隊還是通過一個 Edge 漏洞和一個沙箱穿透漏洞十秒完美攻破 Edge 流覽器。更重要的是,在提交漏洞原理的時候,主辦方瞪大眼睛覺得太不可思議了,微軟看了也會哭笑不得。
去年微軟就曾介紹稱,Edge 流覽器之所以敢說最安全,是因為會加入了 Windows Defender Application Guard 機制,這類似於虛擬機器環境,能夠將威脅孤立隔離,阻止這些有害的惡意程式碼侵入儲存在本地硬碟上的檔或資料。而由於只是臨時的虛擬環境,當你關閉網站時相關搭建的環境也將會消失,不會留下可儲存在本地硬碟上的資料。
據稱,Windows Defender Application Guard 機制會在硬體層面創建一個新的 Windows 實例,這是與內核完全獨立的副本,僅提供了能夠保持 Microsoft Edge 流覽器正常運行所需的最少服務。底層硬體強制執行這個獨立的 Windows 副本時,是完全與用戶正常工作環境隔離開來的。
當時微軟表示,新的功能對安全防護的作用非常大,當用戶的流覽器載入到一個不受信任或者未知的網站時,新機制會阻止訪問記憶體、本地儲存、其他已經安裝的應用程式,以及企業的網路等等,做到最徹底的攻擊防護。
不過有意思的是,微軟這一安全機制要到 4 月份的 Redstone 2 更新中才會加入, 原本說 2017 年春季推送的微軟,活生生的將日期推遲到了 4 月份,被駭客破解也就不奇怪了。當然了,有了漏洞微軟就能更好的完善 Edge 流覽器, 接下來 Edge 還是能被稱之為最安全的流覽器。