Microsoft Edge w Windows 7: jak dziś wygląda wsparcie?

Wraz z zakończeniem obsługi technicznej Windows 8 oraz rozszerzonych aktualizacji dla Windows 7, Microsoft ogłosił także prędki koniec przeglądarki Edge na tych systemach. Z pewnych powodów jeszcze on nie nastąpi. Jak działa dziś Edge w Siódemce?

Aktualizacje Edge'a są zależne od projektu z którego dziedziczy on swoją podstawę, którą jest Chromium. Zakończenie ESU dla Windows 7, brak ESU dla Windows 8.1 i koniec wsparcia dla niego, były ekspresowo zastosowaną w projekcie Chromium wymówką, by nie rozwijać wersji dla tych systemów. Odbyło się to nie poprzez wprowadzenie celowych niekompatybilności, a wskutek usunięcia setek "ifów", zapewniających działanie na starych systemach.

Chromium korzysta z bardzo wielu wewnętrznych funkcji Windowsów, które są dodawane z każdą kolejną wersją. Aby zapewnić działanie na starszych wersjach, stosuje brzydkie obejścia. Usunięto je wraz z końcem wsparcia Windows 8.1. Chromium, a w konsekwencji Chrome i Edge, potrzebując brakujących a Siódemce API, przestał działać na starych Windowsach.

Dalsza część artykułu pod materiałem wideo

Microsoft miał jednak duży problem, w postaci Windows Server 2012. System ten jest oparty o Ósemkę, a wsparcie dla niego kończy się dopiero w październiku. By zapewnić wsparcie, Microsoft sforkował wersję 109 Chromium i wprowadzał do niej poprawki bezpieczeństwa nanoszone na wyższe wersje (backport). Realizując tę pracę dla Windows Server, zapewnił tym samym obsługę dla Windows 7 i 8. Microsoft wydał od lutego cztery aktualizacje dla Edge 109, łatając pięć podatności.

Pierwszą z nich jest słabość typu use-after-free (CVE-2023-0941) w obsłudze powiadomień o prośbach dostępu. Dziurę załatano w lutym, a wprowadzono ją jedynie cztery miesiące wcześniej. Poprawka, jak i sam problem, jest niewidoczna dla użytkownika, a zgłaszająca ją osoba otrzymała od Chromium nagrodę w wysokości 41 tysięcy dolarów.

W kwietniu nadeszły poprawki dla dwóch podatności zero-day. Pierwszą z nich jest dziura w rendererze 2D o nazwie Skia (CVE-2023-2136). Ten bardzo poważny błąd pozwalał na ucieczkę z kontenera procesu i wykonanie kodu na prawach głównego procesu przeglądarki za pomocą spreparowanej strony HTML. Dziurę w Skia łatano w trybie pilnym w Chrome 112 i prędko przeportowano do Edge'a 109. Dyskusja o tym, jak uniknąć podobnych błędów w przyszłości trwała do sierpnia i jest pozbawiona jednoznacznych konkluzji.

Wraz ze składnikiem Skia w kwietniu łatano też silnik JavaScript, czyli V8. Zespół TAG Google'a odkrył wykorzystanie dziury w V8 (CVE-2023-2033) w złośliwym oprogramowaniu. Zgłoszono błąd bez zidentyfikowania jego źródła. Początkowo znany był jedynie exploit i informacja o tym, że wyłączenie optymalizacji sprawia, że problem znika. Bisekcja dziury wykazała, że istniała ona co najmniej od 2018 roku, choć prawdopodobnie dłużej. Poprawkę dla V8, podobnie jak tę dla renderera Skia, wydano poza kolejnością. Dwa miesiące później odkryto podobny problem w V8 (CVE-2023-3079), który także przeportowano w dół do Edge 109.

Najnowszym, i zapewne jednym z ostatnich błędów poprawionych w Edge 109 jest podatność w obsłudze WEBP (CVE-2023-4863). Ponownie chodzi o zdalne wykonanie kodu i ucieczkę z piaskownicy za pomocą spreparowanego dokumentu HTML. Szczegóły wciąż są niejawne: znany jest link do opisu błędu, ale sam opis jest dostępny tylko wewnątrz projektu Chromium. Podobnie jest z jego odpowiednikiem w... Bugzilli, bowiem problem występuje także w Firefoksie i Thunderbirdzie. Zapewne stosują one tę samą implementację WEBP, co Chromium.

Wsparcie dla Windows Server 2012 kończy się 10 października i wtedy też gałąź Edge 109 przestanie otrzymywać poprawki bezpieczeństwa. Windows 8.1 nie otrzyma rozszerzonego wsparcia ESU i choć dostanie je odpowiadający mu Windows Server, Edge na takim systemie nie będzie obsługiwany. Dalsze wydawanie przeglądarki internetowej dla starych Windowsów wciąż deklaruje Mozilla. Odbywa się to na tej samej zasadzie, co z Edgem: nowy Firefox (117) już nie działa, ale wersja 115 ESR będzie utrzymywana do września 2024.