Domanda:
Perché è un problema di sicurezza non aggiornare il proprio browser?
Thomas
2014-09-17 22:58:33 UTC
view on stackexchange narkive permalink

È in generale un problema di sicurezza non aggiornare il browser. Firefox mi chiede costantemente di aggiornare il mio browser, ma quanto è pericoloso non aggiornarlo?

Come parte di questa domanda, vorrei sapere qual è esattamente il problema. Quali sono i rischi di non aggiornare il tuo browser? Cosa potrebbe accadere esattamente?

In effetti dovresti aggiornare ogni software che entra in contatto con Internet.
Ogni pezzo di software.
La domanda migliore è ... perché non dovresti? In effetti, con i browser recenti faranno il lavoro per te.
@user10008 aggiungerei: non solo quelli che entrano in contatto con Internet, ma tutto il software. Un grande esempio è Adobe Acrobat Reader (che legge file PDF non autorizzati trasmessi offline)
@Adnan Adobe Acrobat Reader è il più delle volte anche un plugin nei browser, ma sì, anche se non lo è, dovresti aggiornare tutto il software che entra in contatto con qualsiasi cosa al di fuori (pensa a conficker) .... quindi in pratica è tutto. Tuttavia, il software che ha contatti con Internet ha un'importanza maggiore.
Per quanto riguarda il "perché non dovresti" ... Gli aggiornamenti del browser hanno un record negativo di non visualizzazione di siti che sarebbero stati visualizzati prima. Di solito è un problema dello sviluppatore web, ma è di poca consolazione per il lavoratore aziendale (o utente domestico) che ha le bollette dovute ma improvvisamente non può fare le proprie operazioni bancarie dopo che il browser si aggiorna automaticamente.
Ricordi Heartbleed? Ha prodotto attacchi contro client e server. https://security.stackexchange.com/questions/55119/does-the-heartbleed-vulnerability-affect-clients-as-severely
Perché altrimenti potresti trovare sviluppatori front-end che ti danno la caccia con una tastiera per l'utilizzo di IE6
Tieni presente che nulla di quanto detto nelle risposte seguenti è unico per i browser. È solo che oggigiorno tendiamo a trascorrere più tempo nel browser rispetto a quasi tutti gli altri programmi, quindi è un vettore particolarmente prezioso.
Nove risposte:
#1
+69
RoraΖ
2014-09-17 23:10:00 UTC
view on stackexchange narkive permalink

Perché nel software sono sempre presenti vulnerabilità di sicurezza. Queste vulnerabilità a volte vengono divulgate pubblicamente, a volte no. In ogni caso, quando gli sviluppatori li trovano o li scoprono, li patchano. L'esecuzione di vecchie versioni di browser ti rende vulnerabile a siti Web dannosi che tentano di infettare il tuo computer.

Di seguito sono riportati i collegamenti a pagine Web che elencano le vulnerabilità che sono state corrette nelle versioni relativamente recenti dei 3 browser più popolari.

Microsoft Internet Explorer

Mozilla Firefox

Google Chrome

Tutti i browser avranno bug e tutti avranno vulnerabilità. Ma rimanere al passo con le vulnerabilità note può aiutare a impedire agli aggressori di ottenere l'accesso al tuo sistema.

Modifica

Grazie a kirb per questi collegamenti extra ai blog aggiornati degli aggiornamenti sulla sicurezza del browser

IEBlog
Versioni di Google Chrome

Per alcuni dettagli, lavoravo nel reparto infosec per una grande organizzazione. I computer venivano infettati periodicamente da malware ed era quasi SEMPRE tramite il browser. Di solito era nelle reti pubblicitarie (che è un altro motivo per bloccare gli annunci). Un utente stava navigando innocentemente su siti Web legittimi che avrebbero un annuncio da una rete pubblicitaria legittima. La rete pubblicitaria legittima è stata rivenduta a qualcun altro, che ha venduto a qualcun altro, ecc. Da qualche parte lungo la linea c'è un oage in un iframe che carica un controllo ActiveX ostile che sfrutterà un browser senza patch. Quindi sì, applica le patch al tuo browser.
@user10008 -1 per i collegamenti, non credo aggiungano nulla di rilevante alla risposta.
@WilliamDavidEdwards L'aggiunta di collegamenti (e altri tipi di riferimenti) è considerata una buona pratica e necessaria per il lavoro scientifico. Chiunque può rivendicare qualsiasi cosa su Internet.
IE e Chrome hanno blog in cui vengono rivelate le vulnerabilità corrette in modo simile al collegamento di Firefox; [IEBlog] (http://blogs.msdn.com/b/ie) e [Google Chrome Releases] (http://googlechromereleases.blogspot.com).
Il lavoro scientifico di @user10008 richiede molto di più, e per questa domanda dovresti dimostrare che il costo dell'aggiornamento del proprio browser vale i benefici in generale. Questa è una risposta più dura (pensa al tipo di lavoro Così a lungo e no grazie per le esternalità).
Bella carta @SteveDL. C'è del vero in questo, ecco perché non penso che i proprietari di siti web dovrebbero ottenere il loro server rack da 2 terahash per il calcolo PBKDF2, solo per avere un "hash forte". Ma forse se le persone non "sprecherebbero" il loro tempo eliminando i falsi positivi al 99%, gli attacchi diventerebbero più facili e altro ancora. È come costruire un muro e poi volerlo abbattere perché nessuno riesce a superarlo e il 99% delle volte nessuno tenta di superarlo. Penso che mostrare un elenco di vulnerabilità e dire "quelli rossi sono tutti modi per installare malware sul tuo computer" sia impressionante.
@kirb Grazie per quei collegamenti! Ho aggiornato la mia risposta per includerli.
#2
+23
Steve Dodier-Lazaro
2014-09-18 01:23:20 UTC
view on stackexchange narkive permalink

Sto solo ripetendo altre risposte, ma proviamo a spiegarlo usando una metafora. Un programma per computer è una lunga descrizione di come il computer deve comportarsi, in base alle informazioni fornite. Un programma browser riceve alcune istruzioni da un programma server Web e disegna una pagina Web da utilizzare. Quindi dice al server Web quale pagina successiva vorrebbe visitare e così via.

Noi sviluppatori facciamo molti errori durante la scrittura di programmi. A volte dimentichiamo alcuni casi limite, in in tal caso i nostri programmi si comporteranno in modo irregolare e potrebbero causare danni. A volte, istruzioni specifiche consentono di bypassare una verifica che effettuiamo, ad esempio consentendo a qualcuno di modificare le impostazioni nel tuo browser o di provocare un download senza che tu sia d'accordo. In breve, gli errori vengono sfruttati in ogni modo immaginabile .

In altri casi, i programmi si comportano in modo così irregolare che iniziano a scrivere spazzatura in cima al proprio elenco di istruzioni (come un bambino disegnerebbe in cima alla tua lista della spesa). Gli aggressori sono molto bravi a trovare quei casi (che chiamiamo exploit) e a guidare i browser a scrivere cose molto specifiche (il payload) sopra le istruzioni originali anziché spazzatura.

Quando ciò accade, gli sviluppatori lo capiscono prima o poi (spesso mesi / anni dopo) e migliorano il codice sorgente del programma rimuovendo le ambiguità o gli errori che ne consentivano lo sfruttamento. Quindi rilasciano una nuova versione che non è più vulnerabile.

Quando si utilizza una vecchia versione di alcuni software, significa che è vulnerabile a exploit noti e ben documentati , quindi chiunque abbia un po 'di intelligenza può sfruttare il tuo software e danneggiare il tuo computer ei tuoi dati. In particolare, i browser Web sono costantemente esposti a informazioni di terze parti sconosciute che potrebbero essere dannose.

I server web possono essere di proprietà di mafie che cercano di guadagnare denaro installando malware su qualsiasi computer che passa (che tiene traccia del tuo online banking, ruba file che sembrano contenere informazioni finanziarie o password, ti traccia online per offrirti pubblicità, guadagna risolvi i CAPTCHA per conto di bot che inviano spam o utilizzi le risorse del tuo computer per inviare spam).

Altri aggressori penetrano persino in server legittimi e poi aggiungono malware su di essi, quindi anche visitando un sito Web perfettamente affidabile come poiché YouTube o Facebook possono portare a malware. La migliore difesa che hai contro questo è non essere vulnerabile ai modi ben noti in cui il tuo browser può essere sfruttato, aggiornandolo.

#3
+6
JekwA
2014-09-17 23:05:56 UTC
view on stackexchange narkive permalink

Bene, il punto centrale dell'aggiornamento / patching di qualsiasi cosa è correggere le vulnerabilità note. Eventuali bug / vulnerabilità rilevati nella versione di Firefox che stai utilizzando potrebbero essere sfruttabili. L'aggiornamento del browser modificherà il funzionamento del browser e renderà tali vulnerabilità non più sfruttabili. È davvero così semplice.

L'aggiornamento può anche introdurre nuove vulnerabilità, ma essendo una nuova versione la conoscenza di nuove vulnerabilità è probabilmente bassa, fino a quando non è uscito per un po 'e le persone ne trovano alcune, quindi nuova patch e il ciclo si ripete.

Gli aggiornamenti spesso includono anche aumenti delle prestazioni, quindi operazioni più veloci, design più elegante o vari altri miglioramenti dell'esperienza utente.

Potresti fornire esempi di cosa potrebbe accadere esattamente? Quanto sono comuni questi buchi di sicurezza?
Sono estremamente comuni. Tutti noi commettiamo errori durante la programmazione ei browser contengono milioni di righe di codice (istruzioni digitate manualmente dai programmatori). Gli ingegneri del software stimano che dovresti aspettarti da 10 a 50 errori per 1000 righe di codice, il che dà decine di migliaia di errori sconosciuti in qualsiasi browser.
#4
+5
Ángel
2014-09-18 04:13:56 UTC
view on stackexchange narkive permalink

Ci sono due ragioni principali per creare una nuova versione di un programma: (in questo caso un browser)

  • Per aggiungere nuove funzionalità (es. visualizzare un video nel browser).
  • Per risolvere un problema, che potrebbe essere:
    • Un problema minore (come cmd-L non apre una nuova finestra quando non è disponibile una finestra )
    • Un grosso problema (ad es. una pagina web dannosa può leggere dati da altre richieste [ 1])

Alcune modifiche sono un po 'più difficili da classificare ( migliorare le prestazioni è una correzione di bug o una funzionalità?)

La maggior parte dei grandi problemi sono problemi di sicurezza risolti una sorta di vulnerabilità. Un browser moderno è complesso come un sistema operativo, è estremamente difficile non avere errori.

Ci sono anche nuove funzionalità che migliorano la sicurezza che non comportano una vulnerabilità (ma dovresti prova ad adottare).

Alcuni programmi (es. un creatore di cartoline) non è così importante avere l'ultima versione. Principalmente perché lo usi solo con file affidabili (quelli che hai creato), quindi il rischio di essere infettati attraverso di esso è piuttosto basso.

D'altra parte, i browser web vengono utilizzati ogni giorno per visitare molti siti non affidabili . E da I non attendibile davvero sul serio. Se sei un utente di Internet pesante, è molto strano che non visiti un sito Web che potrebbe essere compromesso per alcune settimane. Il giornale online che leggi? Indovinate cosa si può fare all'interno della sua rete pubblicitaria. Quando hai cercato X su Google? Il risultato della ricerca potrebbe essere stato un exploit, ecc. Ecc.

Ci sono molti malvagi che cercano di infettarti (e principalmente attraverso il tuo browser o uno dei suoi plugin). A volte tentano una singola vuulnerabilità, altre provano il più possibile (un kit di exploit), tentando tutto ciò che potrebbe consentire loro di controllare la tua macchina.

Poiché i browser web vengono aggiornati non appena vengono a conoscenza del bug -e riescono a risolverlo- (a volte lo scoprono prima, a volte era stato abusato per molto tempo prima), se lo mantieni aggiornato è molto più difficile comprometterti, poiché un utente malintenzionato avrebbe bisogno di un bug senza una correzione (chiamato 0-day). Tuttavia, usare una vecchia versione significa che sei anche vulnerabile a tutti i problemi risolti dopo quella versione, per i quali l'exploit nella maggior parte dei casi non è stato nemmeno scritto prima di essere risolto! (cfr. Microsoft Security Intelligence Report 16, pagina 24 e MSIR 15) I sistemi non aggiornati hanno molte più probabilità di essere infettati.

Mozilla Firefox rilascia una nuova versione ogni sei settimane (più ogni volta che un problema di sicurezza ne impone una nuova). Se desideri mantenere aggiornato il browser ma non sei interessato a modifiche meno importanti (come le modifiche alla barra degli strumenti), puoi eseguire una versione del supporto esteso, che è supportata per 54 settimane (sebbene tu possa ancora ottenere una nuova versione con correzioni minori ogni sei settimane, più gli aggiornamenti di sicurezza quando necessario).

Molti altri fornitori forniscono anche versioni LTS (Long Term Support) dei loro programmi, a cui applicano correzioni di sicurezza (solo ), anche se non è il più recente . Ad esempio Debian supporta (cioè corregge le vecchie versioni che stanno distribuendo) i loro pacchetti, sebbene siano un distributore, per circa 3 anni e Red Hat Enterprise Linux fornisce supporto per 13 anni.

Tuttavia, sebbene hai formulato la domanda in modo generico, probabilmente ti stavi chiedendo però perché Firefox abbia dovuto aggiornarsi a Firefox 32.0.1 (12 settembre 2014) pochi giorni dopo l'installazione di Firefox 32.0 (2 settembre 2014). Questo non è costantemente , anche se l'ultimo aggiornamento è stato a luglio.

La spiegazione è -come sempre- nelle note di rilascio https://www.mozilla.org/en-US/firefox/32.0.1/releasenotes/ dove possiamo che sebbene Firefox 32 risolti alcuni problemi di sicurezza, Firefox 32.0.1 non era dovuto alla scoperta di nuove vulnerabilità, ma perché Firefox 32 "falliva" su computer con più schede grafiche (uno di quei problemi principali non legati alla sicurezza).

32.0.1 - Problemi di stabilità per computer con più schede grafiche

32.0.1 - L'icona del contenuto misto potrebbe essere visualizzata in modo errato invece dell'icona del lucchetto per i siti SSL

32.0.1 - WebRTC: setRemoteDescription () non riesce silenziosamente se non viene specificato alcun callback di successo

Quindi, come eccezione al consiglio generale, l'aggiornamento a Firefox 32.0.1 se si stanno eseguendo Firefox 32.0 non è un problema urgente a meno che non si utilizzino più schede grafiche (o si utilizzi Android). Ma quando viene visualizzato 32.0.2, l'aggiornamento potrebbe essere. Devi stare molto attento ogni volta a ciò che è cambiato esattamente se vuoi continuare a eseguire versioni non più recenti del tuo browser (e sicure).

Se hai a che fare con un solo computer, l'aggiornamento probabilmente richiede meno tempo piuttosto che capirlo ☺ (e dovremmo essere grati all'ultima generazione di aggiornamenti automatici per averli resi così fluidi)

#5
+4
Chris Arnold
2014-09-17 23:37:44 UTC
view on stackexchange narkive permalink

Di seguito è riportato un collegamento alle note di aggiornamento della sicurezza di Firefox:

Avvisi sulla sicurezza

Puoi vedere dal numero di correzioni, in particolare quelle contrassegnate " critico ", che non aggiornando comporteresti un rischio significativo.

#6
+4
Saint Crusty
2014-09-18 19:32:43 UTC
view on stackexchange narkive permalink

Risposta più breve, leggi il log delle modifiche di Firefox per una versione e scopri perché. Puoi trovarlo @

https://www.mozilla.org/en-US/firefox/releases/

per tutte le versioni specifiche. Basta fare clic su uno dei numeri di rilascio.

#7
+1
schroeder
2014-09-17 23:06:04 UTC
view on stackexchange narkive permalink

Tutti i software hanno bug. Gli aggiornamenti aiutano a risolvere questi bug.

Quando si tratta di browser, i bug possono significare che il malware può infettare il tuo browser o anche la tua macchina. Nel peggiore dei casi? Un utente malintenzionato può conoscere i tuoi dati bancari e svuotare il tuo account.

Potresti fornire esempi di cosa potrebbe accadere esattamente? Quanto sono comuni questi buchi di sicurezza?
Quando visiti una pagina web, ospita malware da qualche parte nella pagina. Il tuo browser scarica il contenuto e lo elabora, ma sfrutta un bug nel tuo browser. In background, installa un keylogger. Ora tutto ciò che digiti viene inviato a un utente malintenzionato. Questi buchi sono comuni. Raz ha una bella lista.
#8
  0
oldnoob
2014-09-18 01:07:56 UTC
view on stackexchange narkive permalink

È a causa di una categoria di vulnerabilità nota come vulnerabilità lato client. Nel corso del tempo, i server sono diventati più sicuri, quindi i criminali informatici, invece di concentrarsi sui server in questi giorni, si concentrano sui bug di sicurezza lato client. Quando si tratta di browser, questi bug vengono utilizzati principalmente dopo i bug gratuiti (specialmente in Internet Explorer che è cambiato di recente grazie all'incorporazione di più protezioni contro questi bug).

Esiste un software noto come "kit di exploit" (ad esempio, Blackhole, Sweet Orange e Stuxnet) che dispongono di più exploit lato client pronti per essere attivati ​​ospitati su un sito web. Una volta che visiti il ​​sito web con il tuo browser non aggiornato (o Java: D), boom hanno accesso a tutte le tue credenziali.

Potete dimostrare che lo sfruttamento dei vuln lato client è una conseguenza dei miglioramenti nella sicurezza del server? Possedere i client è redditizio indipendentemente dal fatto che tu possa possedere i server, poiché ti forniscono diversi tipi di dati e funzionalità come attaccante. Ad esempio, risolutori CAPTCHA, robot IP dinamici per DDoS, profili umani per pubblicità mirata e così via.
#9
  0
user55766
2014-09-19 02:04:18 UTC
view on stackexchange narkive permalink

Quando visiti una pagina web, ospita malware da qualche parte nella pagina. Il tuo browser scarica il contenuto e lo elabora, sfrutta del codice nel tuo browser, dandogli accesso al tuo computer. Installa un server di posta e inizia a inviare spam: migliaia di messaggi ogni pochi minuti.

Non hai notato che il tuo sistema è rallentato e / o il tuo disco rigido sta lavorando duramente?

Visiti una pagina web, che ospita malware da qualche parte nella pagina. Il tuo browser scarica il contenuto e lo elabora, e questa volta raccoglie tutti i contatti nella tua rubrica, cercando anche i nomi utente (ad esempio, il tuo account e-mail nome utente e altro) e la parola "Password" in tutti i tuoi messaggi. Se trova uno qualsiasi, lo invia a "casa". Ora qualcuno può eseguire uno dei programmi ampiamente disponibili che prova il nome utente e il pw trovati su dozzine di siti.

Visiti una pagina web, che ospita malware da qualche parte nella pagina. Il tuo browser scarica il contenuto e lo elabora, e questa volta cerca informazioni sulla carta di credito e bancarie ...



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...