Perché nel software sono sempre presenti vulnerabilità di sicurezza. Queste vulnerabilità a volte vengono divulgate pubblicamente, a volte no. In ogni caso, quando gli sviluppatori li trovano o li scoprono, li patchano. L'esecuzione di vecchie versioni di browser ti rende vulnerabile a siti Web dannosi che tentano di infettare il tuo computer.

Di seguito sono riportati i collegamenti a pagine Web che elencano le vulnerabilità che sono state corrette nelle versioni relativamente recenti dei 3 browser più popolari.

Microsoft Internet Explorer

Mozilla Firefox

Google Chrome

Tutti i browser avranno bug e tutti avranno vulnerabilità. Ma rimanere al passo con le vulnerabilità note può aiutare a impedire agli aggressori di ottenere l'accesso al tuo sistema.

Modifica

Grazie a kirb per questi collegamenti extra ai blog aggiornati degli aggiornamenti sulla sicurezza del browser

IEBlog
Versioni di Google Chrome

Sto solo ripetendo altre risposte, ma proviamo a spiegarlo usando una metafora. Un programma per computer è una lunga descrizione di come il computer deve comportarsi, in base alle informazioni fornite. Un programma browser riceve alcune istruzioni da un programma server Web e disegna una pagina Web da utilizzare. Quindi dice al server Web quale pagina successiva vorrebbe visitare e così via.

Noi sviluppatori facciamo molti errori durante la scrittura di programmi. A volte dimentichiamo alcuni casi limite, in in tal caso i nostri programmi si comporteranno in modo irregolare e potrebbero causare danni. A volte, istruzioni specifiche consentono di bypassare una verifica che effettuiamo, ad esempio consentendo a qualcuno di modificare le impostazioni nel tuo browser o di provocare un download senza che tu sia d'accordo. In breve, gli errori vengono sfruttati in ogni modo immaginabile .

In altri casi, i programmi si comportano in modo così irregolare che iniziano a scrivere spazzatura in cima al proprio elenco di istruzioni (come un bambino disegnerebbe in cima alla tua lista della spesa). Gli aggressori sono molto bravi a trovare quei casi (che chiamiamo exploit) e a guidare i browser a scrivere cose molto specifiche (il payload) sopra le istruzioni originali anziché spazzatura.

Quando ciò accade, gli sviluppatori lo capiscono prima o poi (spesso mesi / anni dopo) e migliorano il codice sorgente del programma rimuovendo le ambiguità o gli errori che ne consentivano lo sfruttamento. Quindi rilasciano una nuova versione che non è più vulnerabile.

Quando si utilizza una vecchia versione di alcuni software, significa che è vulnerabile a exploit noti e ben documentati , quindi chiunque abbia un po 'di intelligenza può sfruttare il tuo software e danneggiare il tuo computer ei tuoi dati. In particolare, i browser Web sono costantemente esposti a informazioni di terze parti sconosciute che potrebbero essere dannose.

I server web possono essere di proprietà di mafie che cercano di guadagnare denaro installando malware su qualsiasi computer che passa (che tiene traccia del tuo online banking, ruba file che sembrano contenere informazioni finanziarie o password, ti traccia online per offrirti pubblicità, guadagna risolvi i CAPTCHA per conto di bot che inviano spam o utilizzi le risorse del tuo computer per inviare spam).

Altri aggressori penetrano persino in server legittimi e poi aggiungono malware su di essi, quindi anche visitando un sito Web perfettamente affidabile come poiché YouTube o Facebook possono portare a malware. La migliore difesa che hai contro questo è non essere vulnerabile ai modi ben noti in cui il tuo browser può essere sfruttato, aggiornandolo.

Bene, il punto centrale dell'aggiornamento / patching di qualsiasi cosa è correggere le vulnerabilità note. Eventuali bug / vulnerabilità rilevati nella versione di Firefox che stai utilizzando potrebbero essere sfruttabili. L'aggiornamento del browser modificherà il funzionamento del browser e renderà tali vulnerabilità non più sfruttabili. È davvero così semplice.

L'aggiornamento può anche introdurre nuove vulnerabilità, ma essendo una nuova versione la conoscenza di nuove vulnerabilità è probabilmente bassa, fino a quando non è uscito per un po 'e le persone ne trovano alcune, quindi nuova patch e il ciclo si ripete.

Gli aggiornamenti spesso includono anche aumenti delle prestazioni, quindi operazioni più veloci, design più elegante o vari altri miglioramenti dell'esperienza utente.

Ci sono due ragioni principali per creare una nuova versione di un programma: (in questo caso un browser)

• Per aggiungere nuove funzionalità (es. visualizzare un video nel browser).
• Per risolvere un problema, che potrebbe essere:
  • Un problema minore (come cmd-L non apre una nuova finestra quando non è disponibile una finestra )
  • Un grosso problema (ad es. una pagina web dannosa può leggere dati da altre richieste [ 1])

Alcune modifiche sono un po 'più difficili da classificare ( migliorare le prestazioni è una correzione di bug o una funzionalità?)

La maggior parte dei grandi problemi sono problemi di sicurezza risolti una sorta di vulnerabilità. Un browser moderno è complesso come un sistema operativo, è estremamente difficile non avere errori.

Ci sono anche nuove funzionalità che migliorano la sicurezza che non comportano una vulnerabilità (ma dovresti prova ad adottare).

Alcuni programmi (es. un creatore di cartoline) non è così importante avere l'ultima versione. Principalmente perché lo usi solo con file affidabili (quelli che hai creato), quindi il rischio di essere infettati attraverso di esso è piuttosto basso.

D'altra parte, i browser web vengono utilizzati ogni giorno per visitare molti siti non affidabili . E da I non attendibile davvero sul serio. Se sei un utente di Internet pesante, è molto strano che non visiti un sito Web che potrebbe essere compromesso per alcune settimane. Il giornale online che leggi? Indovinate cosa si può fare all'interno della sua rete pubblicitaria. Quando hai cercato X su Google? Il risultato della ricerca potrebbe essere stato un exploit, ecc. Ecc.

Ci sono molti malvagi che cercano di infettarti (e principalmente attraverso il tuo browser o uno dei suoi plugin). A volte tentano una singola vuulnerabilità, altre provano il più possibile (un kit di exploit), tentando tutto ciò che potrebbe consentire loro di controllare la tua macchina.

Poiché i browser web vengono aggiornati non appena vengono a conoscenza del bug -e riescono a risolverlo- (a volte lo scoprono prima, a volte era stato abusato per molto tempo prima), se lo mantieni aggiornato è molto più difficile comprometterti, poiché un utente malintenzionato avrebbe bisogno di un bug senza una correzione (chiamato 0-day). Tuttavia, usare una vecchia versione significa che sei anche vulnerabile a tutti i problemi risolti dopo quella versione, per i quali l'exploit nella maggior parte dei casi non è stato nemmeno scritto prima di essere risolto! (cfr. Microsoft Security Intelligence Report 16, pagina 24 e MSIR 15) I sistemi non aggiornati hanno molte più probabilità di essere infettati.

Mozilla Firefox rilascia una nuova versione ogni sei settimane (più ogni volta che un problema di sicurezza ne impone una nuova). Se desideri mantenere aggiornato il browser ma non sei interessato a modifiche meno importanti (come le modifiche alla barra degli strumenti), puoi eseguire una versione del supporto esteso, che è supportata per 54 settimane (sebbene tu possa ancora ottenere una nuova versione con correzioni minori ogni sei settimane, più gli aggiornamenti di sicurezza quando necessario).

Molti altri fornitori forniscono anche versioni LTS (Long Term Support) dei loro programmi, a cui applicano correzioni di sicurezza (solo ), anche se non è il più recente . Ad esempio Debian supporta (cioè corregge le vecchie versioni che stanno distribuendo) i loro pacchetti, sebbene siano un distributore, per circa 3 anni e Red Hat Enterprise Linux fornisce supporto per 13 anni.

Tuttavia, sebbene hai formulato la domanda in modo generico, probabilmente ti stavi chiedendo però perché Firefox abbia dovuto aggiornarsi a Firefox 32.0.1 (12 settembre 2014) pochi giorni dopo l'installazione di Firefox 32.0 (2 settembre 2014). Questo non è costantemente , anche se l'ultimo aggiornamento è stato a luglio.

La spiegazione è -come sempre- nelle note di rilascio https://www.mozilla.org/en-US/firefox/32.0.1/releasenotes/ dove possiamo che sebbene Firefox 32 risolti alcuni problemi di sicurezza, Firefox 32.0.1 non era dovuto alla scoperta di nuove vulnerabilità, ma perché Firefox 32 "falliva" su computer con più schede grafiche (uno di quei problemi principali non legati alla sicurezza).

32.0.1 - Problemi di stabilità per computer con più schede grafiche

32.0.1 - L'icona del contenuto misto potrebbe essere visualizzata in modo errato invece dell'icona del lucchetto per i siti SSL

32.0.1 - WebRTC: setRemoteDescription () non riesce silenziosamente se non viene specificato alcun callback di successo

Quindi, come eccezione al consiglio generale, l'aggiornamento a Firefox 32.0.1 se si stanno eseguendo Firefox 32.0 non è un problema urgente a meno che non si utilizzino più schede grafiche (o si utilizzi Android). Ma quando viene visualizzato 32.0.2, l'aggiornamento potrebbe essere. Devi stare molto attento ogni volta a ciò che è cambiato esattamente se vuoi continuare a eseguire versioni non più recenti del tuo browser (e sicure).

Se hai a che fare con un solo computer, l'aggiornamento probabilmente richiede meno tempo piuttosto che capirlo ☺ (e dovremmo essere grati all'ultima generazione di aggiornamenti automatici per averli resi così fluidi)

Di seguito è riportato un collegamento alle note di aggiornamento della sicurezza di Firefox:

Avvisi sulla sicurezza

Puoi vedere dal numero di correzioni, in particolare quelle contrassegnate " critico ", che non aggiornando comporteresti un rischio significativo.

Risposta più breve, leggi il log delle modifiche di Firefox per una versione e scopri perché. Puoi trovarlo @

https://www.mozilla.org/en-US/firefox/releases/

per tutte le versioni specifiche. Basta fare clic su uno dei numeri di rilascio.

Tutti i software hanno bug. Gli aggiornamenti aiutano a risolvere questi bug.

Quando si tratta di browser, i bug possono significare che il malware può infettare il tuo browser o anche la tua macchina. Nel peggiore dei casi? Un utente malintenzionato può conoscere i tuoi dati bancari e svuotare il tuo account.

È a causa di una categoria di vulnerabilità nota come vulnerabilità lato client. Nel corso del tempo, i server sono diventati più sicuri, quindi i criminali informatici, invece di concentrarsi sui server in questi giorni, si concentrano sui bug di sicurezza lato client. Quando si tratta di browser, questi bug vengono utilizzati principalmente dopo i bug gratuiti (specialmente in Internet Explorer che è cambiato di recente grazie all'incorporazione di più protezioni contro questi bug).

Esiste un software noto come "kit di exploit" (ad esempio, Blackhole, Sweet Orange e Stuxnet) che dispongono di più exploit lato client pronti per essere attivati ​​ospitati su un sito web. Una volta che visiti il ​​sito web con il tuo browser non aggiornato (o Java: D), boom hanno accesso a tutte le tue credenziali.

Quando visiti una pagina web, ospita malware da qualche parte nella pagina. Il tuo browser scarica il contenuto e lo elabora, sfrutta del codice nel tuo browser, dandogli accesso al tuo computer. Installa un server di posta e inizia a inviare spam: migliaia di messaggi ogni pochi minuti.

Non hai notato che il tuo sistema è rallentato e / o il tuo disco rigido sta lavorando duramente?

Visiti una pagina web, che ospita malware da qualche parte nella pagina. Il tuo browser scarica il contenuto e lo elabora, e questa volta raccoglie tutti i contatti nella tua rubrica, cercando anche i nomi utente (ad esempio, il tuo account e-mail nome utente e altro) e la parola "Password" in tutti i tuoi messaggi. Se trova uno qualsiasi, lo invia a "casa". Ora qualcuno può eseguire uno dei programmi ampiamente disponibili che prova il nome utente e il pw trovati su dozzine di siti.

Visiti una pagina web, che ospita malware da qualche parte nella pagina. Il tuo browser scarica il contenuto e lo elabora, e questa volta cerca informazioni sulla carta di credito e bancarie ...