微软发布Edge 123版本更新，修复4个零日漏洞，涵盖Error Reporting策略使用异常、WebAssembly类型混乱、WebCodecs使用afterfree和ANGLE使用afterfree等四个重大安全漏洞。已知有黑客利用这些漏洞实施攻击。此次更新旨在提高用户电脑安全性，保护数据不被篡改或窃取。
Microsoft Edge 123版本更新——四大重要安全漏洞及修复措施
在互联网领域中，网络安全始终是不可忽视的重要课题。作为一款备受用户喜爱的浏览器，Edge 123版本在近期进行了大规模的安全更新，以修复之前发现的四款关键漏洞，其中包括错误报告策略使用异常、WebAssembly类型混乱、WebCodecs使用afterfree和ANGLE使用afterfree等。以下是对这四项漏洞的详细介绍以及微软对于此次更新的目的和效果的阐述。
首先，让我们来看看Error Reporting策略使用异常问题。这是一个由微软于2021年发现的漏洞，该漏洞允许黑客通过恶意代码注入到用户的浏览器过程中，进而执行恶意操作，如窃取敏感信息、篡改网页源码等。这个问题影响到了许多使用Edge浏览器的用户，包括Windows设备用户和MacOS用户。根据微软的公告，针对此漏洞，他们对Web API error reporting部分进行了优化，包括改进了捕获和处理错误行为的方法，并引入了更严格的验证机制，确保只有经过严格身份认证的用户才能访问和修改相关的API配置。此外，Edge 123版本还改进了反馈功能，让用户能够更准确地报告和追踪各种类型的错误，这对于预防潜在的恶意攻击具有重要意义。
其次，我们来看一下WebAssembly类型混乱问题。这是由Microsoft在2021年2月发现的，攻击者可以通过修改WebAssembly模块中的类型声明来绕过浏览器的编译过程，从而达到植入恶意代码的目的。这种漏洞主要针对那些运行WebAssembly应用或者涉及复杂类型转换的页面。针对此漏洞，微软发布了针对WebAssembly的修复解决方案，包括改进了WebAssembly类型解析器的性能，以减少其依赖于外部库的几率，同时也增加了对非法类型转义的支持，使恶意代码更容易在正常情况下产生混淆。此外，edge 123版本还加强了对WebAssembly模块的审核流程，对于不符合标准的WebAssembly模块，浏览器将无法进行编译，从而提高了应用程序的安全性。
再来说说WebCodecs使用afterfree问题。这是由Microsoft在2021年6月发现的，攻击者可以利用WebCodecs API的循环引用特性，通过在创建WebAssembly对象时初始化一个全局变量，然后在每次调用函数时覆盖这个变量的行为，从而破坏JavaScript程序结构，实现恶意代码的传播。针对此漏洞，微软针对WebCodecs API的异常处理机制进行了优化，包括在后续的JavaScript代码中加入异常处理，如果遇到循环引用导致的内存泄漏，浏览器会自动关闭作用域并停止脚本运行，防止攻击者的恶意行为得以继续。此外，微软也强调了WebCodecs API的弱类型检查，避免了由于变量类型不确定而导致的循环引用引发的安全问题。
最后，让我们来看一下ANGLE使用afterfree问题。这是由Adobe公司于2020年发现的，攻击者可以通过在DOM事件处理函数中使用Array.prototype.afterFree方法，创建多个事件监听器链，从而使用户可以在多个地方触发相同的事件，并执行多个不同的操作。针对此漏洞，微软已经修复了相关问题，取消了Array.prototype.afterFree方法的默认行为，使其仅用于创建唯一唯一的目标，同时对DOM事件监听器的执行逻辑进行了改进，确保不会重复执行同一事件，从而降低了攻击者的利用空间。此外，微软还对DOM事件委托的相关属性进行了升级，包括改变绑定属性（如event.key）的命名规范，使得开发人员能够更好地管理多点触控事件的绑定情况，进一步增强了浏览器的安全性。
总的来说，Microsoft Edge 123版本的更新覆盖了以上提到的四项关键安全漏洞，并且通过改进了上述每个漏洞的功能和机制，使得用户的数据不再受到恶意攻击的风险，提升了浏览器的安全性和稳定性。这一系列安全更新的成功实施，不仅维护了用户的隐私和安全，也强化了浏览器的安全防护能力，成为了当前业界公认的最优选择之一。未来，随着新技术的发展和漏洞风险的增加，MicrosoftEdge 123版本将持续关注并应对新的安全威胁，为用户提供更加完善和安全的网络环境。总结来说，这次Edge 123版本的更新是一项重大的安全升级，标志着微软对网络安全领域的持续投入和深度探索，为我们提供了更加安全、可靠和便捷的互联网浏览体验。