Studie: Oplåtade webbläsare som förekommer på Internet

Endast 59,1 procent av dem använder sig av uppdaterade, fullständigt patcherade webbläsare, vilket ökar resten av risken från att öka hot från flitiga hackare, enligt en ny studie publicerad av forskare i Schweiz.

Studien, publicerad tisdag, är en av de mest omfattande analyserna av vilka versioner av webbläsare människor använder på Internet. Studien genomfördes av forskare vid det schweiziska federala institutet för teknik, Google och IBM Internet Security Services.

Webbläsare är ofta en svag länk i säkerhetskedjan, eftersom programvaresårbarheter kan göra det enkelt för hackare att få kontroll över en PC. När det händer kan hackare utföra skadliga handlingar som att stjäla personliga data eller vända datorer till spam-spewing drones.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Vad forskarna fann är att även om programvara Leverantörer ger patchar för säkerhetsproblem, det kan ta dagar, veckor eller månader innan folk uppdaterar sina applikationer. Under tiden är dessa användare i riskzonen.

Men det är inte helt fel för användarna, eftersom webbläsarförsäljare inte har gjort det enkelt, sa Stefan Frei, doktorand vid institutet, som är känt som ETH Zürich, och en av rapportens författare. Webbläsaren är fortfarande ganska ung teknik, och branschen har ännu inte kommit överens om en dominerande, välprövad design, sa han.

Studien tittade på sök- och webbapplikationsserverloggdata från Google för att se vilka versioner av Firefox-menyn, Opera eller Safari-webbläsaren använde, menade Frei.

Motsvarande Internet Explorer berättar emellertid bara webbservrar vilken huvudversion en person använder, till exempel IE 6 eller IE 7. Forskarna åberopade data från människor som har installerat ett verktyg på sin dator, kallad Personal Software Inspector, från det danska säkerhetsbolaget Secunia som kan upptäcka inkrementella versioner av IE, sade Frei.

Firefox-användare var bäst att uppgradera: 83,3 procent använder den senaste versionen studie tittade bara på Firefox 2.0). För Apples Safari använder 65,3 procent den senaste versionen. 56,1 procent för Opera och 47,6 procent för Microsofts Internet Explorer.

Mozilla Firefox kom ut på grund av sin automatiska uppdateringsfunktion, som berättar för användaren att en ny patch är tillgänglig och erbjuder ett klick för att uppgradera. Inom tre dagar är de flesta Firefox-användare uppdaterade, sade studien.

Frei rekommenderar att alla webbläsare lägger in en automatisk uppdatering eftersom processen nu är besvärlig och långsam.

Nu är Opera-användare berättade Det finns en ny version, men de måste gå till Operas webbplats och gå igenom samma installationsprocess som om de ursprungligen hade laddat ner webbläsaren för första gången, sade Frei.

Safari använder en extern uppdaterare som bara pollar för uppdateringar med vissa intervall. Microsofts uppdateringar distribueras den andra tisdagen i månaden. Dessa luckor i tid mellan när en sårbarhet offentliggörs och en person patchar är avgörande, eftersom de är ett öppet fönster för en attack.

Problemet med laxplåster faller helt och hållet på axlarna hos applikationsleverantörerna - användare ofta helt enkelt kan inte visuellt berätta om deras webbläsare behöver uppgraderas, sade Frei.

Han förespråkar programvaruleverantörer tar en cue från livsmedelsindustrin och sätter ett "utgångsdatum" högst upp på webbläsaren för att låta folk känna till webbläsarens stat. Till exempel kan en varning visas bredvid adressfältet: "145 dagar löpte ut, tre fläckar saknas"

"Det är ett icke-tekniskt förslag," sa Frei. "Hur kan man förvänta sig att de kör uppdateringen om de inte ens vet? Vi tycker att det är detsamma som att ha en hastighetsgräns på en motorväg."

Även sökmotorer som Google kan visa samma varning ovan sökresultat, eftersom webbläsarversionen sänds till sina servrar när någon utför en fråga, sade Frei.

Alternativt kan säkerhetsföretag göra skanning av programversioner en del av sina konsumentprodukter, vilket de har gjort för vissa program på företagsnivå, sade Frei.

Men problemet med föråldrade webbläsare pales i jämförelse med pluggen i pluggen -ins, som lägger till extra funktionalitet för webbläsaren, till exempel Adobe Flash och Apples QuickTime multimediaprogram.

I genomsnitt har personer mellan sex till 10 plugin-program, varav många kommer från olika leverantörer med olika patch-regimer och scheman, Sade Frei. "Webbläsaren är brödet, och även om brödet är bra, om skinkan är ruttet, har du ett problem," sade Frei.

Enbart en programvara sårbarhet i en plug-in kan sätta en persons dator i fara. Frei föreslår att en organisation som ett nationellt system för datorreaktionsreaktioner skapar en tjänst där webbläsare kan verifiera om den har den senaste versionen av ett plugin.

Förutom Frei genomfördes studien av Thomas Dübendorfer från Google, Gunter Ollmann från IBM Internet Security Systems och Martin May från ETH. Studien kommer att presenteras vid Defcon-säkerhetskonferensen nästa månad i Las Vegas.