Nghiên cứu: Các trình duyệt Web chưa được cập nhật phổ biến trên Internet

Nghiên cứu được công bố vào hôm thứ Ba là một trong những phân tích toàn diện nhất về những phiên bản trình duyệt Web mà mọi người đang sử dụng trên Internet. Các trình duyệt Web thường là một liên kết yếu trong chuỗi bảo mật, vì các lỗ hổng phần mềm có thể giúp hacker dễ dàng kiểm soát được một PC. Khi điều đó xảy ra, tin tặc có thể thực hiện các hành động độc hại như đánh cắp dữ liệu cá nhân hoặc chuyển máy tính thành máy bay không phát tán thư rác.

Những gì các nhà nghiên cứu đã tìm thấy là mặc dù phần mềm nhà cung cấp cung cấp các bản vá cho các vấn đề bảo mật, có thể mất hàng ngày, hàng tuần hoặc hàng tháng trước khi mọi người cập nhật ứng dụng của họ. Theo Stefan Frei, một sinh viên tiến sĩ của Viện, được biết đến như ETH, Stefan Frei, một sinh viên tiến sĩ của Viện nghiên cứu ETH, cho biết: "Trong khi đó, những người sử dụng này đang gặp nguy hiểm.

Tuy nhiên, đây không phải là lỗi của người dùng. Zurich, và là một trong những tác giả của báo cáo. Nghiên cứu này đã xem xét các dữ liệu nhật ký tìm kiếm và dữ liệu đăng nhập máy chủ ứng dụng Web do Google cung cấp để xem những phiên bản nào trình duyệt Firefox, Opera và Safari của Mozilla cho biết.

Internet Explorer của Microsoft chỉ nói với các máy chủ Web về phiên bản chính mà một người đang sử dụng, chẳng hạn như IE 6 hoặc IE 7. Các nhà nghiên cứu dựa vào dữ liệu từ người người đã cài đặt một công cụ trên máy tính cá nhân của họ được gọi là Personal Software Inspector, từ công ty Secunia của Đan Mạch, có thể phát hiện ra các phiên bản gia tăng của IE, Frei cho biết. nghiên cứu chỉ nhìn vào Firefox 2.0). Đối với Safari của Apple, 65,3 phần trăm sử dụng phiên bản mới nhất; 56,1 phần trăm cho Opera và 47,6 phần trăm cho Internet Explorer của Microsoft. Firefox của Mozilla đã xuất hiện trên trang do tính năng tự động cập nhật của nó, nó cho người sử dụng một bản vá lỗi mới có sẵn và cung cấp một cách để nâng cấp một cú nhấp chuột. Frei khuyến cáo rằng tất cả các trình duyệt đều có tính năng cập nhật tự động vì quá trình này hiện tại đang cồng kềnh và chậm.

Bây giờ, người dùng Opera được cho biết có một phiên bản mới, tuy nhiên họ phải vào trang web của Opera và phải trải qua quá trình cài đặt tương tự như lần đầu tiên họ tải trình duyệt xuống. Safari sử dụng một trình cập nhật bên ngoài mà chỉ có các cuộc thăm dò cho cập nhật ở những khoảng thời gian nhất định. Bản cập nhật của Microsoft được phân phối vào Thứ ba thứ hai của tháng. Những khoảng trống trong khoảng thời gian giữa khi một lỗ hổng được tiết lộ công khai và một bản vá lỗi của người dùng là rất quan trọng, vì chúng là một cửa sổ mở cho một cuộc tấn công.

Vấn đề với vá lỏng lẻo thường trực trên vai của các nhà cung cấp ứng dụng - người dùng thường Frei nói: "Ông ta ủng hộ các nhà cung cấp phần mềm lấy ý kiến ​​từ ngành công nghiệp thực phẩm và đưa ra" ngày hết hạn "ngay trên trình duyệt để cho mọi người biết trình duyệt của mình tiểu bang. Ví dụ: một cảnh báo có thể xuất hiện bên cạnh thanh địa chỉ: "145 ngày đã hết hạn, ba vá lỗi"

"Đó là một đề xuất không kỹ thuật", Frei nói. Chúng tôi nghĩ rằng nó cũng giống như có giới hạn tốc độ trên xa lộ ".

Ngay cả các công ty công cụ tìm kiếm như Google cũng có thể hiển thị cùng một cảnh báo ở trên kết quả tìm kiếm, vì phiên bản trình duyệt được truyền đến các máy chủ của nó khi ai đó thực hiện một truy vấn, Frei nói

Frei cho biết thêm, các công ty an ninh có thể làm cho phiên bản ứng dụng quét một phần các sản phẩm tiêu dùng của họ, mà họ đã làm cho một số phần mềm cấp doanh nghiệp, tuy nhiên vấn đề các trình duyệt lỗi thời vẫn còn nhức nhối so với các plug-in plug-in -ins, có thêm chức năng bổ sung cho trình duyệt, chẳng hạn như Adobe Flash và chương trình đa phương tiện QuickTime của Apple.

Trung bình, mọi người có từ 6 đến 10 plug-in, nhiều trong số đó có nguồn gốc từ các nhà cung cấp khác nhau với các chế độ vá lỗi khác nhau Frei nói: "Trình duyệt là bánh mì, và thậm chí nếu bánh mì ngon, nếu ham là thối, bạn có một vấn đề", Frei nói.

Chỉ một lỗ hổng phần mềm trong một plug-in có thể đặt máy tính cá nhân của một người trong nguy hiểm. Frei đề xuất rằng một tổ chức như là một Đội phản ứng khẩn cấp máy tính quốc gia tạo ra một dịch vụ mà các trình duyệt có thể xác minh nếu nó có phiên bản mới nhất của một plug-in.

Bên cạnh Frei, nghiên cứu cũng được tiến hành bởi Thomas Dübendorfer của Google, Gunter Ollmann của IBM Internet Security Systems và Martin May từ ETH. Nghiên cứu sẽ được trình bày tại hội nghị bảo mật Defcon tháng tới tại Las Vegas.