Компания
377,41
рейтинг
6 апреля 2012 в 10:00

Разработка → (Не)безопасный серфинг?

Сегодня многие популярные браузеры поддерживают автообновление, однако значительную часть плагинов к ним нужно обновлять самостоятельно. Внушительное количество пользователей делает это крайне редко, не задумываясь или не зная, что в большинстве случаев атакуются не только браузеры, но и плагины!

Под катом — любопытная статистика проверок безопасности браузеров и плагинов на наличие потенциальных уязвимостей по результатам работы онлайн службы SurfPatrol в 2011 году. Данные предоставляются по Рунету.

Поехали


Проверяемые платформы: Windows, MacOS, Android, iOS.

Проверяемые браузеры: IE 6+, Safari 3+, Firefox 1+, Chrome (все версии), Opera 9.5+, Opera Mini, Android Browser, Mobile Safari, Opera Mobile.

SurfPatrol определяет как сам браузер, так и целый список плагинов, включая: .Net Framework, Adobe Flash Player, Adobe Reader Plugin, Foxit Reader Plugin, Java Deployment Toolkit, Microsoft DirectX, Microsoft Office 2003, Microsoft Office 2007, Microsoft Office 2010, Microsoft Office Visio 2003 Viewer, Microsoft Silverlight, Microsoft XML Core Services 3.0, Microsoft XML Core Services 4.0, Microsoft XML Core Services 6.0, QuickTime Plugin, Real Player, SAP Component, Shockwave for Director, Sun Java, VideoLan VLC Media Player, Windows Media Player.

Компонент проверки признается уязвимым, если обнаружена «незакрытая» уязвимость (не установлено обновление-патч или обновление ещё не выпущено).

Итак, 89% веб-серферов имеют как минимум одну уязвимость в связке браузер-плагин, при этом почти половина всех проверок выявляла более 3-х уязвимостей.



Большинство проверок устройств под управлением Android проводилось для версии 2.3 (62%), при этом в наиболее популярном браузере этой платформы — Android Browser – в 73% проверок были найдены уязвимости.
На платформе iOS уязвимости были обнаружены в 39% случаев, наиболее часто проверялась самая популярная на тот момент версия – четвертая. MacOS оказалась уязвимой в подавляющем большинстве проведенных проверок (около 91%). Из общей статистики выбиваются проверки браузеров Safari и Chrome на MacOS v.10.7.2 – уязвимости были обнаружены в 70% случаев.

Наибольшее число проверок приходится на Windows – самую широко распространенную платформу. Определённый оптимизм внушает то, что процент проверок с найденными уязвимостями для последней на тот момент версии Windows 7 хоть и незначительно, но меньше, чем в более ранних версиях Windows.
При этом комбинация «браузер + плагины» на платформе Windows оказалась наиболее уязвимой для Chrome и IE в 75% и 79% проверок соответственно.

Но насколько «виноваты» сами браузеры? В целом по всем платформам уязвимости в браузерах (без учета плагинов) были обнаружены в следующем проценте проверок: IE – 62%, Chrome – 30%, Firefox – 22%, Safari – 21%, Opera – 17%.

А процент проверок, в результате которых были обнаружены уязвимости в плагине (из наиболее распространённых плагинов), от числа всех проверок плагина показан на графике:



Делаем выводы


9 из 10 пользователей Рунета подвержены риску кибератаки. Даже при использовании последней версии браузера наличие бреши в одном из плагинов может свести на нет все усилия по обеспечению безопасности.

Надежность веб-серфинга можно повысить не только путем внедрения принудительного автоматического обновления браузеров и плагинов, но и благодаря более активному просвещению пользователей об угрозах, атаках и методах защиты и всестроенней совместной пропаганде интернет-гигиены.

Кстати, проверить насколько сегодня безопасен ваш веб-серфинг, можно сейчас =)

Если у Вас появились вопросы, пишите! Обязательно ответим.
Автор: @ptsecurity
Positive Technologies
рейтинг 377,41

Комментарии (23)

  • +13
    К сожалению, в данный момент мы не поддерживаем Ваш браузер или платформу.

    Надеюсь, что злоумышленники тоже :)
  • +6
    Поддержка Linux будет добавлена чуть позже ;)
    И список поддерживаемых плагинов увеличим
    • +1
      «Чуть» — это насколько позже? Пару месяцев назад попадал на этот сайт, с тех пор ситуация с линуксом не изменилась.
  • 0
    Вы выделили Sun Java — доля Oracle Java настолько незначительна (никто не обновился?), или в не было найдено уязвимостей?
    • 0
      Что вы имеете ввиду? На графике Sun Java — вторая по числу уязвимых плагинов.
      Sun Java = Oracle Java
  • 0
    Как быстро на сервисе обновляется информация о наличии уязвимости? Данные об уязвимостях обновляются оператором вручную, или автоматически парсятся новые CVE?
    • +2
      Информация обновляется ежедневно. Используется и автоматическое добавление и добавление оператором вручную.
  • +1
    Годный проект! Мне нравится серфпатрол. Ставлю+. Когда будет поддержка Линукс — интересная статистика получится!
  • +1
    Спасибо большое за проверялку. Очень полезная вещь.
  • +3
    Есть ещё одна проверялка, поддерживающая Linux.
    Qualys
    • 0
      Эта проверялка интересная. Но довольно примитивная. Проверка версии браузера происходит по User-Agent, который можно подменить. Только что проверял, что он ведётся на подмену. А сёрф патрол этим не обманишь.
      • +5
        А нахрена подменять юзерагент своему же браузеру, если сам хочешь его проверить?
        К тому же, например, НЕ последнюю версию сильверлайта 4.1.10111.0 surfpatrol считает нормой, а qualys ругается и предлагает все-таки обновиться до 5.0.61118.0.
        Да и постеснялись бы называть примитивной проверялку от мирового лидера индустрии сканеров безопасности -).
        При установке своего плагина, кстати, Кволис дает дополнительный функционал проверок.
        • 0
          Кволис, к сожалению, сейчас проверяет не «дырявость» плагинов, а наличие новых версий. Другими словами фактически является не сканером уязвимостей, а информатором об обновлениях. Если SurfPatrol не находит уязвимостей, то он не навязывает обновление.
  • +2
    Джава это просто песня для малвари
  • +1
    Сорри за оффтоп, но иллюстрация глаза режет какими-то серыми разводами из-за неаккуратно вырезанного фрагмента в центре. Или это какое то воздействие на подсознание? Призрак угрозы прорывается сквозь брешь?)
  • +4
    Некоторые плагины ещё нужно суметь обновить до свежей версии. У меня уже полгода компьютер настойчиво пытается обновить Microsoft Silverlight, в ходе обновления возникают ошибка (не может найти какой-то файл), и все возвращается на круги своя.

    Когда-то давно была схожая проблема с flash — так я его просто удалил и поставил заново. А детище Microsoft стандартными средствами ещё и не удаляется (опять какого-то файла не хватает!)
  • +1
    Sun Java, 1.6.0_22
    Опасность высокая

    В действительности стоит 1.6.0_31
    • +1
      Напишите в службу поддержки
      Специалисты посмотрят что там как
  • +1
    По сносил не нужные расширения, статья хорошая.
    • 0
      *плаггины
  • +1
    А нет ли какого способа автоматизировать установку всех этих плагинов?
    Ибо на большом парке все эти обновления превращаются просто в ад.

    • 0
      Пока мы еще начинаем работу над автоматическим способом обновлением плагинов.
  • 0
    IE 9.0.8112

    Обнаружены проблемы

    SCRIPT5007: Не удалось получить значение свойства «toString»: значением объекта является NULL или он не определен
    SPplugin.min.js, строка 1 символ 14471

    b=d.QuickTimeVersion.toString(16);

    FF, Chrome, Opera — проблем нет.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка