軟件巨頭微軟發力將用戶推離舊版本Internet Explorer。但從漏洞的角度來看，Windows 10的新瀏覽器有多安全呢?

[[159674]]

大家可能沒想到，微軟的新瀏覽器Edge與Internet Explorer有不少相同的地方，特別是涉及到安全漏洞時是這樣。

根據過去5個月的軟件更新分析表明，Edge與Internet Explorer共享了25個漏洞。Internet Explorer共有100個漏洞。

在本月初計劃中的周二補丁更新里，微軟發布了MS15-124和MS15-125;MS15-124是用于Internet Explorer的累積更新，MS15-125和MS15-124幾乎一樣，是用于Edge的。Internet Explorer被修補漏洞達15個，其中的11個出現在Edge里，需要修補。

12月份的月度更新列表里有4個漏洞是Edge特有的，這4個漏洞不影響IE瀏覽器。

自Edge隨Windows 10在今年早些時候發布以來，12月里修補Edge的漏洞次數最多。

四分之一的IE瀏覽器漏洞亦影響到Edge。因此至少有一位評論家質疑Edge是不是建在一個“爛掉的老底子”上。由于在Edge發現的漏洞數量遠遠低于IE瀏覽器，要是說Edge看起來是個更安全的瀏覽器也不是沒有道理。但Edge真的比Internet Explorer更安全嗎?

根據微軟年前發布的博客文章里的資料，軟件巨頭微軟的最新瀏覽器是Windows 10專用的，最新瀏覽器的設計號稱可以“保護用戶不受日益復雜和經常發生的攻擊”。

為達到此目的，Edge廢棄了舊的、不安全的或者有缺陷的插件或框架，如ActiveX或瀏覽器幫助對象。這些有助于減少一些攻擊者傳統上順手就可以使用的攻擊。Edge渲染引擎用的是EdgeHTML。EdgeHTML是從Trident衍生出來的，而Trident則仍然驅動著Internet Explorer。

然而，目前大家不清楚Edge代碼有多少仍然是基于舊的Internet Explorer代碼。

曾有人問起過，但微軟透露的不多。發言人表示(為簡明起見，我們刪掉了一些東西)：

“Edge的不同設備版本共享一個通用代碼庫，并不含Internet Explorer的傳統插件架構。盡管是另起爐灶的設計，但有時候共用代碼有可取之處，在這些情況下微軟有選擇地共用了Edge和Internet Explorer之間的一些代碼。”

安全公司Tripwire的安全研究和開發經理Tyler Reguly在一封電子郵件中表示，代碼程序庫的重疊會導致那些不單單出現在一個瀏覽器里漏洞的出現。

他表示，“像這種大型網絡瀏覽器項目，扔掉只針對某個項目的代碼以及下面的支持API的做法極少見的，在這些情況下必然有重疊。”

他稱，“網絡瀏覽器用到許多API，瀏覽器之間仍然有通用的API。如果在系統里運行微軟Edge和Internet Explorer，就會發現二者都會加載一些重疊的DLL庫。”

FireEye的研究科學經理Dan Caselden表示，如果兩個瀏覽器打同樣的補丁，比較典型的情況是因為二者共享代碼。

Caselden表示，“偶爾有幾個補丁可能是因為兩種不同的實現方法引入了同樣的錯誤，比如設計層次的毛病。但我敢打賭，這種情況很少發生。”

到底Internet Explorer代碼有多少被保留在Edge里，這是個大問題。更為關鍵的是，那些代碼與兩個瀏覽器的重疊漏洞是否有關系，而兩個瀏覽器的重疊漏洞對Edge用戶構成風險。

歸根結底，要說一個瀏覽器比另一個瀏覽器更安全或更不安全即便不是不可能的話也是很難的。

所謂的“危急”補丁是指那些修復最嚴重漏洞的補丁。“危急”補丁可以說一個動態指標，但這個指標需要考慮漏洞的詳細信息以及漏洞有沒有被攻擊者利用。由于每個月發布的補丁數無法預測，再加上考慮到相應的補丁嚴重等級，一款瀏覽器的安全指數每個月是不一樣的。

舊版本Internet Explorer將于明年1月中旬退役，數以百萬計的用戶有大約一個月的時間升級到Internet Explorer 11或是Windows 10的Edge。