Komponentit

Tutkimus: tyhjät web-selaimet Internetissä esiintyvät

SCP-261 Pan dimensional Vending Machine | object class safe | Food / drink scp

SCP-261 Pan dimensional Vending Machine | object class safe | Food / drink scp
Anonim

Vain 59,1 prosenttia ihmisistä käyttää ajantasaisia ​​ja täysin patsautuneita selaimia, ja jäljellä olevat riskit aiheuttavat uhanalaisten hakkereiden aiheuttamat uhat, Sveitsin tutkijoiden julkaiseman uuden tutkimuksen mukaan.

Tutkimus, joka julkaistiin tiistaina, on yksi kattavimmista analyyseistä, mistä verkkoselainten ihmisten versiot käyttävät Internetissä. Tutkimus on tehty Sveitsin liittovaltion teknisen tutkimuslaitoksen, Googlein ja IBM Internet Security Servicesin tutkijoilla.

Verkkoselaimet ovat usein heikko yhteys turvallisuusketjuun, koska ohjelmistohyökkäykset voivat helpottaa hakkereiden hallintaa PC. Kun näin käy, hakkerit voivat tehdä haittaohjelmia, kuten henkilötietojen varastamista tai tietokoneiden kääntymistä roskapostiviivoihin.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Mitä tutkijat ovat todenneet, myyjät tarjoavat korjaustiedostoja tietoturvaongelmiin, se voi kestää päiviä, viikkoja tai kuukausia ennen kuin ihmiset päivittävät sovelluksensa. Sillä välin nämä käyttäjät ovat vaarassa.

Mutta se ei ole täysin käyttäjän syy, koska web-selaimen myyjät eivät ole juuri tehneet korjauksia helposti, sanoo instituutin instituutissa toimiva Stefan Frei, joka tunnetaan nimellä ETH Zürich, ja yksi raportin kirjoittajista. Web-selain on edelleen melko nuori teknologia, ja alan on vielä ratkaistava hallitseva, hyvin testattu muotoilu.

Tutkimuksessa tarkasteltiin Googlen tarjoamia haku- ja Web-sovelluspalvelimen lokitietoja, jotta näet, mitä versioita Firefox, Opera tai Safari-selaimet käyttävät käyttäjiä, Frei sanoi.

Microsoftin Internet Explorer kertoo kuitenkin vain WWW-palvelimille, mitkä tärkeä versio henkilö käyttää, kuten IE 6 tai IE 7. Tutkijat luottivat ihmisten tietoihin jotka ovat asentaneet työkalun Personal Security Inspector -ohjelmistoon, tanskalaisen Secunian tietoturva-alan yrityksestä, joka pystyy havaitsemaan IE: n inkrementaaliset versiot, Frei sanoi.

Firefox-käyttäjät olivat parasta päivittämisessä: 83,3 prosenttia käyttää uusinta versiota tutustu vain Firefox 2.0: een). Applen Safarissa 65,3 prosenttia käyttää uusinta versiota; 56,1 prosenttia Operaille ja 47,6 prosenttia Microsoftin Internet Exploreriin.

Mozillan Firefox nousi huipulle sen automaattisen päivityksen ominaisuuden vuoksi, joka kertoo käyttäjälle, että uusi korjaustiedosto on käytettävissä ja tarjoaa yhden napsautuksen päivitystavan.

Frei suosittelee, että kaikki selaimen päättäjät tekevät automaattisen päivitystoiminnon, koska prosessi on nyt hankalaa ja hidasta.

Nyt Opera-käyttäjille kerrotaan, että useimmat Firefox-käyttäjät ovat ajantasaisia. on uusi versio, mutta heidän on mentävä Opera-sivustolle ja käydä läpi saman asennusprosessin kuin jos he olivat alun perin latauttaneet selaimen ensimmäistä kertaa, Frei sanoi.

Safari käyttää ulkoista päivitysohjelmaa, päivitykset tietyin väliajoin. Microsoftin päivitykset jaetaan kuukauden toisena tiistaina. Nämä aukot aika-ajoista, jolloin haavoittuvuus julkistetaan ja henkilön korjaustiedostot ovat ratkaisevia, koska ne ovat avoin ikkuna hyökkäykselle.

Lax-korjauksen ongelma kuuluu täsmälleen sovellusmyyjien harteille - käyttäjät usein yksinkertaisesti ei näy visuaalisesti, onko heidän selaimensa oltava päivitettävissä, Frei sanoi.

Hän kannustaa ohjelmistotoimittajia ottamaan vihjeen elintarviketeollisuudesta ja asettamaan "vanhentumispäivän" aivan selaimen päällä, jotta ihmiset tietäisivät selaimen osavaltio. Esimerkiksi varoitus voisi näkyä osoitepalkin vieressä: "145 päivää vanhentunut, kolme korjaustiedostoa puuttuu"

"Se on ei-tekninen ehdotus", Frei sanoi. "Miten voit odottaa ihmisiä, että he käyttävät päivitystä, jos he eivät edes tiedä? Mielestämme se on sama kuin nopeusrajoitus moottoritiellä."

Myös hakukoneyritykset, kuten Google, voivat näyttää saman varoituksen hakutulokset, koska selaimen versio lähetetään sen palvelimille, kun joku suorittaa kyselyn, Frei sanoi.

Vaihtoehtoisesti tietoturvayritykset voisivat tehdä sovellusversion skannauksen osasta kuluttajatuotteita, joita he ovat tehneet joillekin yritystason ohjelmistoille, Frei sanoi.

Mutta vanhan selaimen ongelma pales verrattuna pistokkeeseen -ins, jotka lisäävät selaimelle lisätoimintoja, kuten Adoben Flash- ja Applen QuickTime-multimediasovellus.

Keskimäärin ihmisillä on 6- 10 laajennusta, joista monet ovat peräisin eri toimittajilta, joilla on erilaiset korjausjärjestelmät ja aikataulut, Frei sanoi.

"Selain on leipä, ja vaikka leipä onkin hieno, jos kinkku on mätä, sinulla on ongelma", Frei sanoi.

Vain yksi ohjelmiston haavoittuvuus plug-inissa laittaa henkilön tietokone vaaralle. Frei ehdottaa, että esimerkiksi National Computer Emergency Response Team -organisaatio luo palvelun, jossa selaimet voivat tarkistaa, onko sillä uusin versio plugista.

Frei-ohjelman lisäksi Thomas Dübendorfer teki myös tutkimuksen, Gunter Ollmann IBM Internet Security Systemsista ja Martin May from ETH. Tutkimus esitellään Las Vegasin seuraavalla kuukaudella Defconin turvallisuuskonferenssissa.