Studie: Upatchede nettlesere som er utbredt på Internett

Bare 59,1 prosent av folk bruker oppdaterte, fullstendig patched nettlesere, og setter resten i fare fra økende trusler fra flittige hackere, ifølge en ny studie publisert av forskere i Sveits.

Studien, publisert tirsdag, er en av de mest omfattende analysene av hvilke versjoner av nettlesere folk bruker på Internett. Studien ble utført av forskere ved Det sveitsiske føderale institutt for teknologi, Google og IBM Internet Security Services.

Nettlesere er ofte en svak lenke i sikkerhetskjeden, da programvareproblemer kan gjøre det enkelt for hackere å få kontroll over en PC. Når det skjer, kan hackere utføre ondsinnede handlinger som å stjele personlige data eller slå PCer til spam-spewing droner.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Hva forskerne fant er at selv om programvare Leverandører gir oppdateringer for sikkerhetsproblemer, det kan ta dager, uker eller måneder før folk oppdaterer sine applikasjoner. I mellomtiden er disse brukerne i faresonen.

Men det er ikke helt feil av brukere, siden nettleservirksomhetene ikke har gjort det enkelt, sier Stefan Frei, doktorand ved instituttet, som er kjent som ETH Zürich, og en av rapportens forfattere. Nettleseren er fortsatt ganske ung teknologi, og industrien har ennå ikke løst seg på en dominerende, velprøvd design, sa han.

Studien så på søk og webapplikasjonsserverloggdata fra Google for å se hvilke versjoner av Firefox-brukerne, Opera- eller Safari-nettleserne brukte folk, men Frei sa.

Microsofts Internet Explorer forteller imidlertid bare webservere hvilken hovedversjon en person bruker, for eksempel IE 6 eller IE 7. Forskerne benyttet seg av data fra mennesker som har installert et verktøy på PCen, kalt Personal Software Inspector, fra det danske sikkerhetsselskapet Secunia som kan oppdage inkrementelle versjoner av IE, sa Frei.

Firefox-brukere var best på å oppgradere: 83,3 prosent bruker den nyeste versjonen studie bare sett på Firefox 2.0). For Apples Safari bruker 65,3 prosent den nyeste versjonen; 56,1 prosent for Opera og 47,6 prosent for Microsofts Internet Explorer.

Mozilla's Firefox kom ut på grunn av sin auto oppdateringsfunksjon, som forteller en bruker at en ny oppdatering er tilgjengelig, og tilbyr en enkel måte å oppgradere. Innen tre dager er de fleste Firefox-brukere oppdatert, sa studien.

Frei anbefaler at alle nettlesere legger inn en automatisk oppdateringsfunksjon siden prosessen nå er tungvint og sakte.

Nå blir Opera-brukere fortalt Det er en ny versjon, men de må gå til Operas nettsted og gå gjennom samme installasjonsprosess som om de først hadde lastet ned nettleseren for første gang, sa Frei.

Safari bruker en ekstern oppdaterer som bare avstemmer for oppdateringer med visse intervaller. Microsofts oppdateringer distribueres den andre tirsdag i måneden. Disse hullene i tid mellom når et sårbarhet er offentliggjort og en personpatcher er avgjørende, da de er et åpent vindu for et angrep.

Problemet med laxpatching faller helt på skuldrene til applikasjonsleverandørene - brukere ofte kan ganske enkelt ikke visuelt fortelle om nettleseren din må oppgraderes, sa Frei.

Han fortaler programvareleverandører om å ta en cue fra næringsmiddelindustrien og sette en "utløpsdato" rett oppå nettleseren for å la folk få vite nettleseren stat. For eksempel kan en advarsel vises ved siden av adressefeltet: "145 dager utløpt, tre oppdateringer mangler"

"Det er et ikke-teknisk forslag," sa Frei. "Hvordan kan du forvente at folk kjører oppdateringen hvis de ikke engang vet? Vi synes det er det samme som å ha en fartsgrense på en motorvei."

Selv søkemotorfirmaer som Google kan vise samme advarsel over søkeresultatene, ettersom nettleserversjonen overføres til serverne når noen utfører en spørring, sa Frei.

Alternativt kan sikkerhetsselskaper gjøre søknadsversjonen skanning en del av deres forbrukerprodukter, som de har gjort for noe programvare på bedriftsnivå, sa Frei.

Men problemet med utdaterte nettlesere pales i forhold til kvadratet av pluggen -ins, som legger til ekstra funksjonalitet for nettleseren, for eksempel Adobe Flash og Apples QuickTime multimedieprogram.

I gjennomsnitt har folk mellom seks til 10 plugin-moduler, hvorav mange kommer fra forskjellige leverandører med forskjellige patch-regimer og tidsplaner, Sier Frei. «Browseren er brødet, og selv om brødet er greit, hvis skinken er rått, har du et problem,» sa Frei.

Bare ett programvaresvikt i en plug-in kan sette en persons PC i fare. Frei foreslår at en organisasjon som et nasjonalt PC-nødresponsteam lager en tjeneste der nettlesere kan kontrollere om den har den nyeste versjonen av en plugin.

Foruten Frei ble studien også utført av Thomas Dübendorfer fra Google, Gunter Ollmann fra IBM Internet Security Systems og Martin May fra ETH. Studien vil bli presentert på Defcon-sikkerhetskonferansen neste måned i Las Vegas.