Undersøgelse: Ubatchede webbrowsere udbredt på internettet

Kun 59,1 procent af befolkningen bruger opdaterede, fuldt patched web browsere, der sætter resten i fare fra voksende trusler fra flittige hackere ifølge en ny undersøgelse udgivet af forskere i Schweiz.

Undersøgelsen, offentliggjort tirsdag, er en af ​​de mest omfattende analyser af, hvilke versioner af webbrowsere folk bruger på internettet. Undersøgelsen blev udført af forskere ved Det Schweiziske Forbunds Teknologiske Institut, Google og IBM Internet Security Services.

Webbrowsere er ofte et svagt link i sikkerhedskæden, da software sårbarheder kan gøre det let for hackere at få kontrol over en PC. Når det sker, kan hackere udføre ondsindede handlinger som at stjæle personlige data eller omdanne pc'er til spam-spewing droner.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Hvad forskerne fandt er, at selvom software Leverandører leverer patches for sikkerhedsproblemer, det kan tage dage, uger eller måneder, før folk opdaterer deres applikationer. I mellemtiden er disse brugere i fare.

Men det er ikke helt fejl hos brugerne, da webbrowser-leverandører ikke ligefrem har lavet patching let, siger Stefan Frei, en ph.d.-studerende ved instituttet, der er kendt som ETH Zürich, og en af ​​rapportens forfattere. Webbrowseren er stadig temmelig ung teknologi, og industrien har endnu ikke afgjort et dominerende, velafprøvet design, sagde han.

Undersøgelsen undersøgte søg- og webapplikationsserverlogdata fra Google for at se, hvilke versioner af Firefox'en, Opera eller Safari-browseren brugte folk, sagde Frei.

Microsofts Internet Explorer fortæller dog kun webservere, hvilken større version en person bruger, f.eks. IE 6 eller IE 7. Forskerne stolte på data fra folk der har installeret et værktøj på deres pc kaldet Personal Software Inspector, fra det danske sikkerhedsselskab Secunia, der kan opdage inkrementelle versioner af IE, sagde Frei.

Firefox-brugere var bedst til at opgradere: 83,3 procent bruger den nyeste version undersøgelse kiggede bare på Firefox 2.0). For Apples Safari bruger 65,3 procent den nyeste version; 56,1 procent til Opera og 47,6 procent til Microsofts Internet Explorer. Mozilla Firefox kom ud på toppen på grund af sin auto-opdateringsfunktion, der fortæller en bruger, at en ny patch er tilgængelig og tilbyder et enkelt klik til at opgradere. Inden for tre dage er de fleste Firefox-brugere opdateret, siger undersøgelsen.

Frei anbefaler, at alle browsere skaber en auto-opdateringsfunktion, da processen nu er besværlig og langsom.

Nu er Opera-brugere fortalt der er en ny version, men de skal gå til Operas websted og gå igennem samme installationsproces som om de først havde downloadet browseren for første gang, sagde Frei.

Safari bruger en ekstern opdaterer, der kun afstemmer for opdateringer med bestemte intervaller. Microsofts opdateringer distribueres den anden tirsdag i måneden. Disse huller i tid mellem, hvornår en sårbarhed offentliggøres, og en person patches er afgørende, da de er et åbent vindue for et angreb.

Problemet med lax patching falder helt og holdent på skulders side af applikationsleverandørerne - brugerne ofte kan simpelthen ikke visuelt fortælle om deres browser skal opgraderes, sagde Frei.

Han fortaler software-leverandører, der tager en cue fra fødevareindustrien og sætter en "udløbsdato" lige oven på browseren for at lade folk kende browseren stat. For eksempel kan en advarsel vises ved siden af ​​adresselinjen: "145 dage udløbet, tre patches mangler"

"Det er et ikke-teknisk forslag," sagde Frei. "Hvordan kan du forvente folk, at de kører opdateringen, hvis de ikke engang ved det? Vi synes, det er det samme som at have en hastighedsgrænse på en motorvej."

Selv søgemaskinefirmaer som Google kunne vise den samme advarsel ovenfor søgeresultater, da browserversionen overføres til sine servere, når nogen udfører en forespørgsel, sagde Frei.

Alternativt kunne sikkerhedsvirksomheder gøre scanningsprogrammer til en del af deres forbrugerprodukter, som de har gjort for noget software på virksomhedsniveau, sagde Frei.

Men problemet med utrolige browsere pales i sammenligning med pluggen i pluggen -ins, som giver ekstra funktionalitet til browseren, såsom Adobe Flash og Apples QuickTime multimedieprogram.

I gennemsnit har folk mellem seks til 10 plug-ins, hvoraf mange kommer fra forskellige leverandører med forskellige patch-regimer og tidsplaner, Sagde Frei. "Browseren er brødet, og selvom brødet er fint, hvis skinken er rotet, har du et problem," sagde Frei.

Kun en software sårbarhed i en plug-in kan sætte en persons pc i fare. Frei foreslår, at en organisation som et nationalt Computer Emergency Response Team opretter en tjeneste, hvor browsere kan kontrollere, om den har den nyeste version af en plugin.

Udover Frei blev undersøgelsen også udført af Thomas Dübendorfer fra Google, Gunter Ollmann fra IBM Internet Security Systems og Martin May fra ETH. Undersøgelsen vil blive præsenteret på Defcon Security Conference næste måned i Las Vegas.