Frage:
Warum ist es ein Sicherheitsproblem, den Browser nicht zu aktualisieren?
Thomas
2014-09-17 22:58:33 UTC
view on stackexchange narkive permalink

Ist es im Allgemeinen ein Sicherheitsproblem, Ihren Browser nicht zu aktualisieren? Firefox fordert mich ständig auf, meinen Browser zu aktualisieren, aber wie gefährlich ist es, nicht zu aktualisieren?

Im Rahmen dieser Frage möchte ich wissen, was genau dieses Problem ist. Was sind die Risiken, wenn Sie Ihren Browser nicht aktualisieren? Was genau könnte passieren?

Tatsächlich sollten Sie jede Software aktualisieren, die mit dem Internet in Kontakt kommt.
Jede Software.
Die bessere Frage ist ... warum würdest du nicht? Mit den neuesten Browsern erledigen sie die Arbeit für Sie.
@user10008 Ich möchte hinzufügen: Nicht nur diejenigen, die mit dem Internet in Kontakt kommen, sondern die gesamte Software. Ein großes Beispiel ist Adobe Acrobat Reader (Lesen von offline übertragenen betrügerischen PDF-Dateien)
@Adnan Adobe Acrobat Reader ist meistens auch ein Plugin in Browsern, aber ja, auch wenn dies nicht der Fall ist, sollten Sie alle Software aktualisieren, die mit etwas außerhalb in Kontakt kommt (denken Sie an Conficker). Das ist also im Grunde alles. Software, die Kontakt mit dem Internet hat, hat jedoch eine höhere Bedeutung.
Was "Warum sollten Sie nicht tun?" Normalerweise ist es das Problem des Webentwicklers, aber das ist für den Geschäftsangestellten (oder Heimanwender), der Rechnungen fällig hat, aber nach dem automatischen Update des Browsers plötzlich keine Bankgeschäfte mehr tätigen kann, wenig tröstlich.
Erinnerst du dich an Heartbleed? Es kam zu Angriffen gegen Clients und Server. https://security.stackexchange.com/questions/55119/does-the-heartbleed-vulnerability-affect-clients-as-severely
Denn ansonsten finden Sie Front-End-Entwickler, die Sie mit einer Tastatur für die Verwendung von IE6 jagen
Beachten Sie, dass nichts in den Antworten unten nur für Browser gilt. Es ist nur so, dass wir heutzutage mehr Zeit im Browser verbringen als fast jedes andere Programm, daher ist es ein besonders wertvoller Vektor.
Neun antworten:
RoraΖ
2014-09-17 23:10:00 UTC
view on stackexchange narkive permalink

Weil in der Software ständig Sicherheitslücken gefunden werden. Diese Sicherheitslücken werden manchmal öffentlich bekannt gegeben, manchmal nicht. So oder so, wenn Entwickler sie finden oder herausfinden, patchen sie sie. Wenn Sie alte Browserversionen ausführen, sind Sie anfällig für böswillige Websites, die versuchen, Ihren Computer zu infizieren.

Nachfolgend finden Sie Links zu Webseiten, auf denen Sicherheitslücken aufgeführt sind, die in relativ neueren Versionen der drei beliebtesten Browser behoben wurden. P. >

Microsoft Internet Explorer

Mozilla Firefox

Google Chrome

Alle Browser weisen Fehler auf, und alle weisen Schwachstellen auf. Wenn Sie jedoch über bekannte Sicherheitslücken auf dem Laufenden bleiben, können Sie verhindern, dass Angreifer Zugriff auf Ihr System erhalten.

Bearbeiten

Vielen Dank an kirb für diese zusätzlichen Links zu aktuellen Blogs mit Browser-Sicherheitsupdates

IEBlog
Google Chrome-Versionen

Bis ins kleinste Detail habe ich in der Infosec-Abteilung für eine große Organisation gearbeitet. Wir hatten Computer, die regelmäßig mit Malware infiziert wurden, und dies geschah fast IMMER über den Browser. Dies geschah normalerweise in Werbenetzwerken (was ein weiterer Grund ist, Anzeigen zu blockieren). Ein Benutzer surfte unschuldig auf legitimen Websites, auf denen eine Anzeige aus einem legitimen Werbenetzwerk geschaltet wurde. Das legitime Werbenetzwerk wurde an eine andere Person weiterverkauft, die an eine andere Person verkauft hat usw. Irgendwo auf der ganzen Linie befindet sich ein Oage in einem Iframe, der ein feindliches ActiveX-Steuerelement lädt, das einen nicht gepatchten Browser ausnutzt. Also ja, patchen Sie Ihre Browser.
@user10008 -1 für die Links, ich glaube nicht, dass sie der Antwort etwas Relevantes hinzufügen.
@WilliamDavidEdwards Das Hinzufügen von Links (und anderen Arten von Referenzen) wird als bewährte Methode angesehen und ist für wissenschaftliche Arbeiten erforderlich. Jeder kann im Internet etwas beanspruchen.
IE und Chrome haben Blogs, in denen gepatchte Sicherheitslücken ähnlich wie beim Firefox-Link offengelegt werden. [IEBlog] (http://blogs.msdn.com/b/ie) und [Google Chrome Releases] (http://googlechromereleases.blogspot.com).
Die wissenschaftliche Arbeit von @user10008 erfordert viel mehr, und für diese Frage müssten Sie nachweisen, dass die Kosten für die Aktualisierung des eigenen Browsers die Vorteile im Allgemeinen wert sind. Das ist eine schwierigere Antwort (denken Sie an die So lange und nein danke für die externe Art der Arbeit).
@SteveDL schönes Papier. Es ist etwas Wahres daran, deshalb denke ich nicht, dass Website-Besitzer ihr 2-Terahash-Server-Rack für die PBKDF2-Berechnung bekommen sollten, nur um einen "starken Hash" zu haben. Aber vielleicht würden Angriffe einfacher und mehr werden, wenn die Leute ihre Zeit nicht damit verschwenden würden, 99% falsch positive Ergebnisse wegzuklicken. Es ist, als würde man eine Mauer bauen und sie dann abreißen wollen, weil niemand darüber hinwegkommt und 99% der Zeit niemand versucht, darüber hinwegzukommen. Ich denke, dass es beeindruckend ist, eine Liste von Sicherheitslücken anzuzeigen und zu sagen, dass "die roten alle Möglichkeiten sind, Malware auf Ihrem Computer zu installieren".
@kirb Danke für diese Links! Ich habe meine Antwort aktualisiert, um sie einzuschließen.
Steve Dodier-Lazaro
2014-09-18 01:23:20 UTC
view on stackexchange narkive permalink

Ich wiederhole wirklich nur andere Antworten, aber versuchen wir es mit einer Metapher zu erklären. Ein Computerprogramm ist eine lange Beschreibung des Verhaltens des Computers basierend auf den gegebenen Informationen. Ein Browserprogramm erhält einige Anweisungen von einem Webserverprogramm und zeichnet eine Webseite, die Sie verwenden können. Anschließend teilt es dem Webserver mit, welche nächste Seite er besuchen möchte, und so weiter.

Wir Entwickler machen beim Schreiben von Programmen viele Fehler. Wir vergessen manchmal einige Randfälle in In diesem Fall verhalten sich unsere Programme unregelmäßig und verursachen möglicherweise Schäden. Manchmal können bestimmte Anweisungen eine von uns vorgenommene Überprüfung umgehen, z. B. jemandem erlauben, Einstellungen in Ihrem Browser zu ändern oder einen Download zu veranlassen, ohne dass Sie dies genehmigen. Kurz gesagt, Fehler werden auf jede erdenkliche Weise ausgenutzt .

In anderen Fällen verhalten sich Programme so unregelmäßig, dass sie anfangen, Müll über ihre eigene Anweisungsliste zu schreiben (wie ein Kind) würde auf Ihre Einkaufsliste zeichnen). Angreifer sind sehr gut darin, diese Fälle zu finden (die wir als Exploits bezeichnen) und die Browser anzuweisen, ganz bestimmte Dinge (die Nutzlast) über die ursprünglichen Anweisungen zu schreiben und nicht Müll.

Wenn dies passiert, finden Entwickler es früher oder später heraus (oft Monate / Jahre später) und verbessern den Quellcode des Programms, indem sie die Mehrdeutigkeiten oder Fehler beseitigen, die die Ausnutzung ermöglichten. Sie veröffentlichen dann eine neue Version, die nicht mehr anfällig ist.

Wenn Sie eine alte Version einer Software verwenden, bedeutet dies, dass sie anfällig für bekannte und gut dokumentierte Exploits ist. So kann jeder mit ein bisschen Witz Ihre Software ausnutzen und Ihren Computer und Ihre Daten beschädigen. Insbesondere sind Webbrowser ständig Informationen von unbekannten Dritten ausgesetzt, die möglicherweise böswillig sind.

Webserver können Mafias gehören, die Geld verdienen möchten, indem sie Malware auf jedem vorbeifahrenden Computer installieren (der Ihr Online-Banking verfolgt, Dateien stiehlt, die aussehen, als ob sie Finanzinformationen oder Kennwörter enthalten, Sie online verfolgt, um Ihre Anzeigen zu schalten, und macht Sie lösen CAPTCHAs im Auftrag von Spam-Bots oder verwenden die Ressourcen Ihres Computers, um Spam zu versenden.

Andere Angreifer brechen sogar in legitime Server ein und fügen ihnen dann Malware hinzu, sodass sie sogar eine absolut seriöse Website wie z da YouTube oder Facebook zu Malware führen können. Die beste Verteidigung, die Sie dagegen haben, besteht darin, nicht anfällig für die bekannten Möglichkeiten zu sein, wie Ihr Browser durch Aktualisierung ausgenutzt werden kann.

JekwA
2014-09-17 23:05:56 UTC
view on stackexchange narkive permalink

Nun, der springende Punkt beim Aktualisieren / Patchen ist, bekannte Schwachstellen zu beheben. Alle Fehler, die in der von Ihnen ausgeführten Firefox-Version gefunden wurden, können ausgenutzt werden. Durch das Aktualisieren Ihres Browsers wird die Funktionsweise des Browsers geändert und diese Sicherheitsanfälligkeiten können nicht mehr ausgenutzt werden. So einfach ist das wirklich.

Aktualisierungen können auch neue Sicherheitslücken mit sich bringen, aber das Wissen über neue Sicherheitslücken in einer neuen Version ist wahrscheinlich gering, bis es eine Weile nicht mehr verfügbar ist und die Leute einige finden. Dann veröffentlichen Entwickler eine Neuer Patch und der Zyklus wiederholen sich von selbst.

Aktualisierungen umfassen häufig auch Leistungssteigerungen, sodass ein schnellerer Betrieb, ein schlankeres Design oder verschiedene andere Verbesserungen der Benutzererfahrung möglich sind.

Können Sie Beispiele geben, was genau passieren könnte? Wie häufig sind diese Sicherheitslücken?
Sie sind sehr häufig. Wir alle machen Fehler beim Programmieren, und Browser enthalten Millionen von Codezeilen (Anweisungen, die von Programmierern manuell eingegeben wurden). Softwareentwickler schätzen, dass Sie mit 10 bis 50 Fehlern pro 1000 Codezeilen rechnen sollten, was in jedem Browser Zehntausende unbekannter Fehler ergibt.
Ángel
2014-09-18 04:13:56 UTC
view on stackexchange narkive permalink

Es gibt zwei Hauptgründe für das Erstellen einer neuen Version eines Programms: (in diesem Fall einen Browser)

  • Hinzufügen neuer Funktionen (z. B. Anzeigen eines Videos im Browser).
  • So beheben Sie ein Problem:
    • Ein kleines Problem (z. B. cmd-L öffnet kein neues Fenster, wenn kein Fenster verfügbar ist )
    • Ein großes Problem (z. B. eine böswillige Webseite kann Daten aus anderen Anforderungen lesen [ 1])

Einige Änderungen sind etwas schwieriger zu klassifizieren ( Leistungsverbesserung ist ein Bugfix oder eine Funktion?)

Die meisten großen Probleme sind Sicherheitsprobleme eine Art von Sicherheitslücke. Ein moderner Browser ist so komplex wie ein Betriebssystem. Es ist äußerst schwierig, keine Fehler zu machen.

Es gibt auch neue Funktionen zur Verbesserung der Sicherheit, die keine Sicherheitsanfälligkeit beinhalten (aber Sie sollten dies tun versuchen zu übernehmen).

Bei einigen Programmen (z. B. einem Postkartenersteller) ist es nicht so wichtig, die neueste Version zu haben. Hauptsächlich, weil Sie es nur mit vertrauenswürdigen Dateien verwenden (die Sie erstellt haben), sodass das Risiko einer Infektion recht gering ist.

Andererseits werden Webbrowser täglich verwendet, um viele nicht vertrauenswürdige Websites zu besuchen . Und mit nicht vertrauenswürdig meine ich es wirklich so. Wenn Sie ein starker Internetnutzer sind, ist es sehr seltsam, dass Sie keine Website besuchen, die für einige Wochen kompromittiert werden könnte. Die Online-Zeitung, die Sie gelesen haben? Ratet mal, was in seinem Werbenetzwerk getan werden kann. Wann haben Sie X bei Google gesucht? Dieses Suchergebnis könnte ein Exploit usw. gewesen sein.

Es gibt viele böse Typen, die versuchen, Sie zu infizieren (und hauptsächlich über Ihren Browser oder eines seiner Plugins). Manchmal versuchen sie eine einzelne Sicherheitslücke, andere versuchen sie so oft sie können (ein Exploit-Kit) und versuchen alles, was ihnen erlaubt, Ihre Maschine zu steuern.

Da die Webbrowser aktualisiert werden, sobald sie über den Fehler Bescheid wissen - und ihn erfolgreich beheben können - (manchmal entdecken sie ihn zuerst, manchmal wurde er schon lange zuvor missbraucht), wenn Sie ihn auf dem neuesten Stand halten Es ist viel schwieriger, Sie zu kompromittieren, da ein Angreifer einen Fehler ohne Korrektur (als 0-Tage bezeichnet) benötigen würde. Die Verwendung einer alten Version bedeutet jedoch, dass Sie auch für alle Probleme anfällig sind, die nach dieser Version behoben wurden, für die der Exploit in den meisten Fällen nicht einmal geschrieben wurde, bevor er gelöst wurde! (Siehe Microsoft Security Intelligence Report 16, Seite 24 und MSIR 15.) Nicht aktualisierte Systeme werden um ein Vielfaches häufiger infiziert.

Mozilla Firefox veröffentlicht alle sechs Wochen eine neue Version (und immer dann, wenn ein Sicherheitsproblem eine neue erzwingt). Wenn Sie den Browser auf dem neuesten Stand halten möchten, aber nicht an weniger wichtigen Änderungen (z. B. Änderungen an der Symbolleiste) interessiert sind, können Sie eine Extended Support Release ausführen, die 54 Wochen lang unterstützt wird (obwohl Sie diese weiterhin erhalten können) Eine neue Version mit kleineren Korrekturen alle sechs Wochen sowie den erforderlichen Sicherheitsupdates.

Viele andere Anbieter bieten auch LTS-Versionen (Long Term Support) ihrer Programme an, auf die sie (nur) Sicherheitsupdates anwenden ), obwohl es nicht das neueste ist. Zum Beispiel unterstützt Debian ihre Pakete (dh behebt die alten Versionen, die sie ausliefern) ihre Pakete - obwohl sie ein Distributor sind - für ~ 3 Jahre, und Red Hat Enterprise Linux bietet Unterstützung für 13 Jahre.

Allerdings Sie haben die Frage allgemein formuliert und sich wahrscheinlich gefragt, warum Firefox nur wenige Tage nach der Installation von Firefox 32.0 (2. September 2014) auf Firefox 32.0.1 (12. September 2014) aktualisiert werden musste. Dies ist nicht ständig , da das letzte Update im Juli erfolgte.

Die Erklärung ist - wie immer - in den Versionshinweisen https://www.mozilla.org/en-US/firefox/32.0.1/releasenotes/, wo wir das können, obwohl Firefox 32 Einige Sicherheitsprobleme wurden behoben. Firefox 32.0.1 war nicht auf die Entdeckung neuer Sicherheitslücken zurückzuführen, sondern darauf, dass Firefox 32 auf Computern mit mehreren Grafikkarten "fehlgeschlagen" ist (eines dieser nicht sicherheitsrelevanten Hauptprobleme).

32.0.1 - Stabilitätsprobleme bei Computern mit mehreren Grafikkarten

32.0.1 - Das Symbol für gemischten Inhalt wird möglicherweise anstelle des Schlosssymbols für SSL-Sites falsch angezeigt

32.0.1 - WebRTC: setRemoteDescription () schlägt stillschweigend fehl, wenn kein erfolgreicher Rückruf angegeben wird.

Als Ausnahme von den allgemeinen Hinweisen sollten Sie daher ein Update auf Firefox 32.0.1 durchführen Firefox 32.0 wird ausgeführt, ist kein dringendes Problem, es sei denn, Sie verwenden mehrere Grafikkarten (oder verwenden Android). Wenn jedoch 32.0.2 angezeigt wird, kann eine Aktualisierung erfolgen. Sie müssen jedes Mal sehr vorsichtig sein, was genau geändert wurde, wenn Sie weiterhin nicht die neuesten Versionen Ihres Browsers (und sicher) ausführen möchten.

Wenn Sie mit einem einzelnen Computer arbeiten, dauert das Aktualisieren wahrscheinlich weniger lange als es herauszufinden ☺ (und wir sollten der letzten Generation von Auto-Updatern dankbar sein, dass sie so nahtlos sind)

Chris Arnold
2014-09-17 23:37:44 UTC
view on stackexchange narkive permalink

Hier ist ein Link zu den Sicherheitsupdate-Hinweisen von Firefox:

Sicherheitshinweise

Sie können die Anzahl der Korrekturen und insbesondere die mit " Kritisch: "Wenn Sie nicht aktualisieren, besteht ein erhebliches Risiko.

Saint Crusty
2014-09-18 19:32:43 UTC
view on stackexchange narkive permalink

Kürzeste Antwort, lesen Sie das Firefox-Änderungsprotokoll für eine Veröffentlichung und sehen Sie, warum. Sie finden es unter

https://www.mozilla.org/en-US/firefox/releases/

Für alle spezifischen Versionen. Klicken Sie einfach auf eine der Versionsnummern.

schroeder
2014-09-17 23:06:04 UTC
view on stackexchange narkive permalink

Alle Software hat Fehler. Updates helfen, diese Fehler zu beheben.

Wenn es um Browser geht, können Fehler bedeuten, dass Malware Ihren Browser oder sogar Ihren Computer infizieren kann. Schlimmsten Fall? Ein Angreifer kann Ihre Bankdaten erfahren und Ihr Konto leeren.

Können Sie Beispiele geben, was genau passieren könnte? Wie häufig sind diese Sicherheitslücken?
Wenn Sie eine Webseite besuchen, wird Malware irgendwo auf der Seite gehostet. Ihr Browser lädt den Inhalt herunter und verarbeitet ihn, nutzt jedoch einen Fehler in Ihrem Browser aus. Im Hintergrund wird ein Keylogger installiert. Jetzt wird alles, was Sie eingeben, an einen Angreifer gesendet. Diese Löcher sind häufig. Raz hat eine schöne Liste.
oldnoob
2014-09-18 01:07:56 UTC
view on stackexchange narkive permalink

Dies liegt an einer Kategorie von Schwachstellen, die als clientseitige Schwachstellen bezeichnet werden. Im Laufe der Zeit sind die Server sicherer geworden, sodass sich Cyber-Gauner, anstatt sich heutzutage auf Server zu konzentrieren, auf clientseitige Sicherheitslücken konzentrieren. Wenn es um Browser geht, werden diese Fehler hauptsächlich nach kostenlosen Fehlern verwendet (insbesondere in Internet Explorer, der sich in letzter Zeit geändert hat, da mehr Schutzmaßnahmen gegen diese Fehler eingeführt wurden).

Es gibt Software, die als "Exploit-Kits" bekannt ist. (z. B. Blackhole, Sweet Orange und Stuxnet), die mehrere clientseitige Exploits enthalten, die auf einer Website gehostet werden können. Sobald Sie die Website mit Ihrem nicht aktualisierten Browser (oder Java: D) besuchen, haben sie Zugriff auf alle Ihre Anmeldeinformationen.

Können Sie nachweisen, dass die Ausnutzung clientseitiger Sicherheitslücken eine Folge der Verbesserung der Serversicherheit ist? Der Besitz von Clients ist rentabel, unabhängig davon, ob Sie Server besitzen können, da sie Ihnen als Angreifer verschiedene Arten von Daten und Funktionen bieten. Zum Beispiel CAPTCHA-Löser, dynamische IP-Bots für DDoS, menschliche Profile für gezielte Werbung und so weiter.
user55766
2014-09-19 02:04:18 UTC
view on stackexchange narkive permalink

Wenn Sie eine Webseite besuchen, wird irgendwo auf der Seite Malware gehostet. Ihr Browser lädt den Inhalt herunter und verarbeitet ihn, nutzt Code in Ihrem Browser aus und gewährt ihm Zugriff auf Ihren Computer. Es installiert einen Mailserver und sendet alle paar Minuten Spam - Tausende von Nachrichten.

Haben Sie nicht bemerkt, dass Ihr System langsamer geworden ist und / oder Ihre Festplatte hart arbeitet?

Sie besuchen eine Webseite, auf der sich irgendwo auf der Seite Malware befindet. Ihr Browser lädt den Inhalt herunter und verarbeitet ihn. Dieses Mal werden alle Kontakte in Ihrem Adressbuch erfasst, wobei auch nach Benutzernamen (dh Ihrem E-Mail-Konto Benutzername und mehr) und dem Wort "Passwort" gesucht wird alle Ihre Nachrichten. Wenn es eine findet, schickt es sie nach Hause. Jetzt kann jemand eines der allgemein verfügbaren Programme ausführen, das den gefundenen Benutzernamen und pw auf Dutzenden von Websites versucht.

Wenn Sie eine Webseite besuchen, wird irgendwo auf der Seite Malware gehostet. Ihr Browser lädt den Inhalt herunter und verarbeitet ihn. Diesmal sucht er nach Kreditkarten- und Bankdaten ...



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...