Прыкладна восем з дзесяці вэб-аглядальнікаў, запушчаных карыстачамі, уразлівыя для нападаў праз эксплоиты, заявіў сёння адмысловец па пытаннях бяспекі.

Дрэнным станам працэсу выпраўлення памылак браўзэра незадаволены Вольфганг Кандек, тэхнічны дырэктар па пытаннях бяспекі кампаніі Qualys, які прадставіў дадзеныя даследаванні BrowserCheck, прадстаўленыя на канферэнцыі RSA у Сан-Францыска.

"Сапраўды, я сапраўды думаў, што паказчыкі будуць ніжэй", — сказаў Кандек, ашаломлены вынікамі, што каля 80% браўзэраў і частоиспользуемых кампанентаў неактуальныя і небяспечныя.

BrowserCheck скануе кампутары пад кіраваннем Windows, Mac OS X, Linux на наяўнасць уразлівых браўзэраў, уключаючы таксама падлучальныя модулі, такія як Adobe Flash/Reader, Oracle Java RE, MS Silverlight і Windows Media.

З пачатку чэрвеня 2010 гады прыкладна 65-90% браўзэраў карыстачоў мелі ў сваім складзе, як мінімум, адзін небяспечны кампанент. У студзені 2011 гады дадзены паказчык спыніўся на адзнацы 80%.

Што яшчэ горш, 30% браузерных падлучальных модуля былі стала не абароненыя, а, датычна Microsoft Windows, прыкладна 10% наогул не атрымлівалі абнаўленняў.

Пры сканаванні браўзэраў без падлучальных модуляў, толькі чвэрць адсканаваных машын мелі на борце неабароненыя вэб-аглядальнікі.

Кандек зачытваў вынікі, як доказ таго, што абнаўленні браўзэраў часцей за ўсё застаюцца на сумленні карыстачоў.

У адрозненне ад большасці падлучальных модуляў, браўзэры самі абнаўляюцца без вядзёнай карыстача, як Google Chrome, або хоць бы правяраюць наяўнасць абнаўленняў, як MS Internet Explorer або Mozilla Firefox.

На адсканаваных машынах самым састарэлым модулем быў Oracle Java, які патрабаваўся ў абнаўленні на 40% машын, затым ішоў Adobe Reader з 32%, а замыкаў тройку QuickTime ад Apple з 25%.

Java RE быў і летась на першым месцы, што дазволіла Кандеку зрабіць выснову: «Б'юся аб закладзе, што большасць карыстачоў нават не ведаюць, што ў іх ёсць Java RE, і як яны яго ўсталёўвалі. Некаторыя аўтары эксплоитов прызнаюць нават, што Java RE адна з прынадных мэт у іх інструментары».

Хоць Oracle звычайна выпускае абнаўленні для Java RE штоквартальна, але на мінулым тыдні быў выпушчаны надзвычайны пазачарговы патч для выпраўлення крытычнай памылкі.

Кандек заявіў, што ён бачыць два рашэння якая склалася сітуацыі:

«Адзіная крыніца абнаўлення будзе пераважней,» — сказаў ён, намякаючы на то, каб Microsoft узяла на сябе працу для выпуску выпраўленняў іншых модуляў. «Мноства механізмаў абнаўлення падлучальных модуляў заблытваюць карыстачоў, якія з працай асвойваюць нават адзін».

Другое рашэнне складаецца ў найноўшых браўзэрах і іх функцыянальнасці ў вобласці развіцця HTML5, спецыфікацыях, якія змогуць апрацоўваць аўдыё, відэа, выконваць прыкладанні, гэта значыць тое, што цяпер робяць іншыя модулі тыпу Flash, QuickTime або WMP.

«Пашырэнне функцыянальнасці HTML5 у браўзэрах дапаможа пазбавіцца ад усяго разадзьмутага парка ўбудоў», — заявіў адмысловец.

Ён таксама заявіў, што цалкам падтрымлівае Google, якая ўзяла на сябе клопат аб абнаўленні Flash разам з Chrome, а таксама аб укараненні свайго PDF-праглядніка ў браўзэр.

рэкамендуем прачытаць таксама

• Oracle вінаваціць Google у “прамым капіяванні” кода Java
• Уразлівасць нулявога дня ў Adobe Flash Player / Reader / Acrobat
• Крытычная ўразлівасць у Adobe Flash Player
• Браўзэр Google Chrome узначаліў рэйтынг самых уразлівых прыкладанняў
• Oracle выпускае пакет выпраўленняў для Java

Каментаванне не дазволенае.