Apple, Opera Slammed Over Browser Patch Regimer

Apple och Opera lagde sig bakom Google och Mozilla när det gäller att distribuera webbläsaruppdateringar på grund av hur de har strukturerat sina patchprogram, enligt ny forskning.

Endast 53 procent av användarna i en 3.x-version av Safari tillämpade en ny uppdatering inom tre veckor, skrev Thomas Duebendorfer från Google Schweiz och Stefan Frei från det schweiziska federala tekniska institutet (ETH Zürich) i ett forskningsdokument.

Även personer som kör en 3,2-version av Safari måste ange en Tiger eller Leopard operativsystem uppdateras först innan du får nya webbläsaruppdateringar, vilket fördröjer den övergripande patchprocessen. Inom tre veckor efter det att Safari version 3.2.1 släpptes hade till exempel bara 33 procent av användarna installerat det.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Operans webbläsare kommer att kontrollera efter uppdateringar en gång i veckan, men en användare måste gå igenom samma installationsprocedur för uppdateringar som om de installerade Opera för första gången. Det är en omständlig process, forskarna skrev.

Tre veckor efter en ny release, har bara 24 procent av aktiva dagliga användare av Opera version 9.x den senaste versionen installerad. Opera planerar dock att införliva en automatisk uppdateringsmekanism i sin nästa planerade release, version 10.

"Den dåliga uppdateringseffektiviteten hos Apple Safari och Opera ger attacker mycket tid att använda kända utnyttjanden för att attackera användare av föråldrade webbläsare ", skrev forskarna.

Frei och Duebendorfer samlade sina data på webbläsare genom att analysera Googles webbloggar, som registrerar användaragentens strängar i webbläsare. En användare-agent-sträng är data som vanligtvis avslöjar vilken typ av webbläsare och version en person använder.

Microsofts webbläsare i Internet Explorer var utesluten från vissa delar av studien eftersom användaragentsträngen inte avslöjar stegvisa versionsändringar för säkerhet orsaker.

Googles Chrome kom ut överst. Studien visade att 97 procent av Chrome-användare på version 1.x fick en uppgradering inom tre veckor. Chrome använder en tyst uppdateringsmekanism där uppdateringar hämtas automatiskt utan användaranmälningar och sedan tillämpas när webbläsaren startas om.

Google har även öppnat sin automatisk uppdateringsteknik, kodnamnet Omaha, vilket innebär att alla kan använda den. Omaha kommer att undersöka Google för uppdateringar även när Chrome inte körs, skrev forskarna. Chrome kontrollerar uppdateringar vart femte år.

Chrome-användare kanske inte stöter på en uppdateringsnivå på 100 procent på grund av andra problem, till exempel att människor inte startar om webbläsaren, brandväggar blockerar uppdateringar och vissa datorer, på plats som Internetkaféer som körs skrivskyddade programvarubilder i virtuella maskiner som inte tillåter programuppdateringar skrev de.

Mozilla Firefox-webbläsare kom på näst bästa, med cirka 85 procent av användarna som använder den senaste versionen 21 dagar efter det att den släpptes. Firefox checkar ofta efter uppdateringar och uppmanar även användare att installera den nya versionen, vilket bidrar till de snabba uppdateringarna som de skrev.

Uppdatering av en webbläsare är viktig eftersom det är en av de mest attackerade applikationerna. Frei och Duebendorfer skrev det övergripande att 45,2 procent av webbanvändarna inte använde den senaste versionen av deras webbläsare, enligt de loggade Google-servern som de analyserade.

"Webbläsare har ett brådskande behov av en mycket effektiv uppdateringsmekanism eller de kommer att förlora striden för att säkra sårbara webbläsare innan användarna blir offer för attacker ", skrev de.