Studie: Unpatched Web Browsers im Internet prävalent

Nur 59,1 Prozent der Nutzer verwenden aktuelle, vollständig gepatchte Webbrowser, wodurch der Rest durch wachsende Bedrohungen durch fleißige Hacker gefährdet wird, heißt es in einer neuen Studie von Forschern aus der Schweiz.

Die am Dienstag veröffentlichte Studie ist eine der umfassendsten Analysen, welche Versionen von Webbrowsern die Leute im Internet benutzen. Die Studie wurde von Forschern der Eidgenössischen Technischen Hochschule, von Google und von IBM Internet Security Services durchgeführt.

Web-Browser sind oft ein schwaches Glied in der Sicherheitskette, da Hacker durch Software-Schwachstellen leicht die Kontrolle über ein Internet-Konto erlangen können PC. Wenn das passiert, können Hacker böswillige Handlungen vornehmen wie den Diebstahl persönlicher Daten oder die Umwandlung von PCs in Spam spuckende Drohnen.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Was die Forscher herausgefunden haben, ist Software Anbieter bieten Patches für Sicherheitsprobleme an. Es kann Tage, Wochen oder Monate dauern, bis die Benutzer ihre Anwendungen aktualisieren. In der Zwischenzeit sind diese Benutzer gefährdet.

Aber es ist nicht ganz die Schuld der Benutzer, da Webbrowser-Anbieter nicht gerade das Patchen leicht gemacht haben, sagte Stefan Frei, ein Doktorand am Institut, das als ETH bekannt ist Zürich, und einer der Autoren des Berichts. Der Web-Browser ist noch eine relativ junge Technologie, und die Branche muss sich noch auf ein dominantes, gut getestetes Design festlegen, sagte er.

Die Studie betrachtete die von Google bereitgestellten Such- und Webanwendungsserver-Protokolldaten, um zu sehen, welche Versionen von Die Firefox-, Opera- oder Safari-Browser verwendeten Leute, sagte Frei.

Microsofts Internet Explorer teilt den Webservern jedoch nur mit, welche Hauptversion eine Person benutzt, wie IE 6 oder IE 7. Die Forscher stützten sich auf Daten von Leuten Englisch: www.mjfriendship.de/en/index.php?op…39&Itemid=32 Sie haben auf ihrem PC ein Tool namens Personal Software Inspector vom dänischen Sicherheitsunternehmen Secunia installiert, das inkrementelle Versionen von IE erkennen kann, sagte Frei.

Firefox - Nutzer waren am besten beim Upgrade: 83,3 Prozent nutzen die neueste Version Studie hat sich nur Firefox 2.0 angesehen). Für Apples Safari verwenden 65,3 Prozent die neueste Version. 56,1 Prozent für Opera und 47,6 Prozent für Microsofts Internet Explorer.

Der Firefox von Mozilla hat sich durch seine Auto-Update-Funktion durchgesetzt, die einem Benutzer anzeigt, dass ein neuer Patch verfügbar ist und einen Ein-Klick-Upgrade bietet. Innerhalb von drei Tagen sind die meisten Firefox-Nutzer auf dem neuesten Stand, heißt es in der Studie.

Frei empfiehlt, dass alle Browserhersteller eine automatische Aktualisierungsfunktion verwenden, da der Prozess nun mühsam und langsam ist.

Opera-Nutzern wird nun gesagt Es gibt eine neue Version, aber sie müssen auf die Website von Opera gehen und den gleichen Installationsvorgang durchlaufen, als ob sie den Browser zum ersten Mal heruntergeladen hätten, sagte Frei.

Safari verwendet einen externen Updater, der nur nachfragt Updates in bestimmten Abständen. Die Updates von Microsoft werden am zweiten Dienstag des Monats verteilt. Diese Zeitlücken zwischen dem Zeitpunkt, an dem eine Sicherheitslücke öffentlich bekannt gemacht wird, und den Patches einer Person sind entscheidend, da sie ein offenes Fenster für einen Angriff darstellen.

Das Problem des laxen Patchens liegt ganz klar auf den Schultern der Anwendungshersteller kann einfach nicht visuell sagen, ob ihr Browser aufgerüstet werden muss, sagte Frei.

Er tritt dafür ein, dass Softwareanbieter ein Stichwort aus der Lebensmittelindustrie nehmen und ein "Ablaufdatum" direkt über dem Browser setzen, um Leute über den Browser zu informieren Zustand. Zum Beispiel könnte eine Warnung neben der Adressleiste erscheinen: "145 Tage abgelaufen, drei Patches fehlen"

"Es ist ein nicht-technischer Vorschlag", sagte Frei. "Wie können Sie von den Leuten erwarten, dass sie das Update ausführen, wenn sie es nicht einmal wissen? Wir denken, es ist dasselbe wie eine Höchstgeschwindigkeit auf einer Autobahn."

Auch Suchmaschinenfirmen wie Google könnten die gleiche Warnung oben anzeigen Suchergebnis, da die Browserversion an seine Server übertragen wird, wenn jemand eine Abfrage durchführt, sagte Frei.

Alternativ könnten Sicherheitsunternehmen den Scan der Anwendungsversion zu einem Teil ihrer Consumer-Produkte machen, was sie für einige Unternehmenssoftware getan haben, sagte Frei.

Aber das Problem veralteter Browser verblasst im Vergleich zum Sumpf des Plugs -ins, die dem Browser zusätzliche Funktionen hinzufügen, wie beispielsweise Adobe Flash und Apples QuickTime-Multimediaprogramm.

Im Durchschnitt haben die Leute zwischen sechs und zehn Plug-Ins, von denen viele von verschiedenen Anbietern mit unterschiedlichen Patch-Regimen und -Plänen kommen, Sagte Frei.

"Der Browser ist das Brot, und selbst wenn das Brot in Ordnung ist, wenn der Schinken verdorben ist, hast du ein Problem", sagte Frei.

Nur eine Software-Schwachstelle in einem Plug-In kann den PC einer Person in Gefahr bringen. Frei schlägt vor, dass eine Organisation wie ein nationales Computer-Emergency-Response-Team einen Dienst erstellt, bei dem Browser überprüfen können, ob sie die neueste Version eines Plug-ins besitzt.

Neben Frei wurde die Studie auch von Thomas Dübendorfer von Google durchgeführt. Gunter Ollmann von IBM Internet Security Systems und Martin May von der ETH. Die Studie wird nächsten Monat in Las Vegas auf der Defcon-Sicherheitskonferenz vorgestellt.