Примерно восемь из десяти веб-обозревателей, запущенных пользователями, уязвимы для атак через эксплоиты, заявил сегодня специалист по вопросам безопасности.
Плохим состоянием процесса исправления ошибок браузера недоволен Вольфганг Кандек, технический директор по вопросам безопасности компании Qualys, который представил данные исследования BrowserCheck, представленные на конференции RSA в Сан-Франциско.
"Честно, я действительно думал, что показатели будут ниже", — сказал Кандек, ошеломлённый результатами, что около 80% браузеров и частоиспользуемых компонентов неактуальны и небезопасны.
BrowserCheck сканирует компьютеры под управлением Windows, Mac OS X, Linux на наличие уязвимых браузеров, включая также подключаемые модули, такие как Adobe Flash/Reader, Oracle Java RE, MS Silverlight и Windows Media.
С начала июня 2010 года примерно 65-90% браузеров пользователей имели в своём составе, как минимум, один небезопасный компонент. В январе 2011 года данный показатель остановился на отметке 80%.
Что ещё хуже, 30% браузерных подключаемых модуля были постоянно не защищены, а, касательно Microsoft Windows, примерно 10% вообще не получали обновлений.
При сканировании браузеров без подключаемых модулей, только четверть отсканированных машин имели на борту незащищённые веб-обозреватели.
Кандек зачитывал результаты, как доказательство того, что обновления браузеров чаще всего остаются на совести пользователей.
В отличие от большинства подключаемых модулей, браузеры сами обновляются без ведома пользователя, как Google Chrome, или хотя бы проверяют наличие обновлений, как MS Internet Explorer или Mozilla Firefox.
На отсканированных машинах самым устаревшим модулем был Oracle Java, который нуждался в обновлении на 40% машин, затем шёл Adobe Reader с 32%, а замыкал тройку QuickTime от Apple с 25%.
Java RE был и в прошлом году на первом месте, что позволило Кандеку сделать вывод: «Бьюсь об заклад, что большинство пользователей даже не знают, что у них есть Java RE, и как они его устанавливали. Некоторые авторы эксплоитов признают даже, что Java RE одна из лакомых целей в их инструментарии».
Хотя Oracle обычно выпускает обновления для Java RE ежеквартально, но на прошлой неделе был выпущен чрезвычайный внеочередной патч для исправления критической ошибки.
Кандек заявил, что он видит два решения сложившейся ситуации:
«Единый источник обновления будет предпочтительнее,» — сказал он, намекая на то, чтобы Microsoft взяла на себя работу для выпуска исправлений сторонних модулей. «Множество механизмов обновления подключаемых модулей запутывают пользователей, которые с трудом осваивают даже один».
Второе решение заключается в новейших браузерах и их функциональности в области развития HTML5, спецификациях, которые смогут обрабатывать аудио, видео, выполнять приложения, то есть то, что сейчас делают сторонние модули типа Flash, QuickTime или WMP.
«Расширение функциональности HTML5 в браузерах поможет избавиться от всего раздутого парка плагинов», — заявил специалист.
Он также заявил, что полностью поддерживает Google, которая взяла на себя заботу об обновлении Flash вместе с Chrome, а также о внедрении своего PDF-просмотрщика в браузер.