Уязвимости Internet Explorer зачастую получают широкий резонанс, давая повод злопыхателям объявить браузер дырявым. Так, в начале 2010 года активно обсуждалась уязвимость Hydraq (Aurora). С ее помощью злоумышленники провели атаку против сотрудников Google (почему-то пользовавшихся IE, а не родным Chrome :). В том случае удар был нацелен на конкретных людей, а эксплуатировалась доселе неизвестная уязвимость браузера.

Однако Internet Explorer – далеко не лидер по количеству обнаруженных недостатков в системе безопасности, причем не первый год.

Количество уязвимостей

Специалисты Symantec несколько лет ведут свою статистику обнаруженных в браузерах уязвимостей, даже если их не признают таковыми разработчики. На диаграмме видно, что в последние два года IE не являлся лидером по количеству изъянов в системе безопасности.

Увеличить рисунок

Год назад с большим отрывом «первенствовал» Firefox, а в 2010 году всех «победил» Chrome. Скорее всего, на результаты повлияло то, что Google официально платит за каждую обнаруженную уязвимость в системе безопасности своего браузера до нескольких тысяч долларов США.

В целом, аналитики Symantec отмечают увеличение количества обнаруженных уязвимостей в продуктах компаний, оплачивающих услуги исследователей. Mozilla, между прочим, тоже вознаграждает за найденные «дырки» в Firefox, но его движок постарше и получше вылизан, а в Chrome уязвимости пока проще найти.

Если смотреть исключительно на количество уязвимостей и объявлять IE дырявым, то как в таком случае охарактеризовать Firefox и Chrome? Первый, наверное, должен называться решетом, авторой – ситом? :)

Обновляйте браузер!

На самом деле, сравнение браузеров по количеству «дырок» не дает полной картины. Исследователи не разглашают уязвимости, если они сотрудничают с разработчиками. Поэтому о большинстве из них мир узнает уже при выходе обновленной версии браузера. И тем важнее ее устанавливать!

Однако есть публичные уязвимости, которые могут быть не закрыты, и злоумышленники их очень любят.

Быстрота устранения уязвимостей

В общем, создатели браузеров довольно оперативно устраняют уязвимости, узнав о них. Специалисты Symantec подсчитали, сколько дней в среднем требуется разработчикам, чтобы устранить недостатки в безопасности браузера, объявленные публично.

Увеличить рисунок

Столь скромные цифры у всех браузеров объясняются тем, что о многих уязвимостях объявляют одновременно с выпуском заплатки, поэтому по методологии Symantec на устранение требуется ровно 0 дней. Такие случаи преобладают, поскольку исследователи, желающие официально заработать деньги на обнаруженных уязвимостях, конфиденциально ставят в известность компанию, позволяя ей устранить недостатки.

В 2010 году уязвимости в Internet Explorer в среднем закрывались дольше, чем в других браузерах. И хотя для 47 уязвимостей в среднем 4 дня на устранение выглядят не очень страшно, одну из них закрывали 125 дней, что не могло не подпортить статистику браузеру Microsoft. Но и это не рекорд!

Любопытно, что Safari с таким громадным окном для одной уязвимости умудрился в среднем уложиться меньше чем в одну в день. Видимо, остальные бреши латали очень быстро, в том числе и с помощью Chrome (у браузеров общий движок WebKit).

Впрочем, эти цифры не отражают степень опасности уязвимости. Высоко опасные и критические изъяны в системе безопасности не держат открытыми по 4 – 9 месяцев, хотя и там есть над чем работать.

Обновляйте браузер автоматически!

Длинные интервалы при закрытии публичных уязвимостей неприятны тем, что их включают в наборы для атаки. К моменту закрытия уязвимости в сети уже могут циркулировать различные обертки для ее эксплуатации. Откладывая обновление браузера, вы сильнее рискуете!

Chrome обновляется сам, даже не заостряя на этом внимание пользователя. Opera и Firefox при стандартных настройках сразу устанавливают обновления, а Internet Explorer обновляется через Windows Update, что рекомендуется автоматизировать. Таким образом, от вас не требуется усилий, чтобы поддерживать браузер в актуальном состоянии.

Уязвимости 0-day

Еще один важный аспект безопасности браузеров – уязвимости, которые втайне от всех эксплуатируются для атаки на конкретного человека или компанию. Они могут оставаться вне досягаемости радаров специалистов и разработчиков до тех пор, пока дело не получит огласку или достаточно большое число компьютеров попадет под удар.

Увеличить рисунок
Уязвимости 0-day в браузерах и других программах (данные Symantec, 2010 год)

По данным Symantec, в 2010 году во всех программных продуктах было выявлено 14 таких уязвимостей, причем на долю браузеров пришлось четыре. Три из них нашлись в Internet Explorer (в том числе, Hydraq/Aurora), хотя одна из них не затрагивала IE8.  На их закрытие у Microsoft уходило 7, 21 и 41 день (долго!). Четвертая уязвимость 0-day была обнаружена в Firefox (Belmoo backdoor), и ее устранили уже через день после обнаружения.

Применяйте комплексную защиту!

Исправить уязвимость браузера могут только его разработчики. Пока нет заплатки, остается полагаться на другие уровни защиты. Уязвимость – это щель, в которую может проникать вредоносный код. Нейтрализовать его призваны антивирусные и антишпионские программы, а наиболее успешно противостоят уязвимостям 0-day системы класса HIPS (например, DefenseWall).

Если они не справятся, еще остается шанс минимизировать ущерб за счет технологий безопасности Windows. Так, Internet Explorer при включенном контроле учетных записей работает в защищенном режиме. Это означает, что браузер и запущенные из него процессы не могут изменять существующие параметры реестра и файлы. Другими словами, повышается устойчивость операционной системы к заражениям.

Статистика посетителей OSZone.net

Я предлагаю вам взглянуть на расклад по браузерам у посетителей OSZone.net за неделю с 11 по 17 апреля. Даты были выбраны так, чтобы захватить новые версии популярных браузеров – с момента выхода Chrome 10 прошло пять недель, IE9 был доступен уже месяц, а Firefox 4 — три недели. Данные вполне репрезентативны, поскольку они основаны на 700 тысячах посетителей (я исключил неизвестные версии браузеров и слегка сгруппировал данные).

Распределение по браузерам аудитории компьютерного портала OSZone.net
для каждой версии указана доля в группе (данные mail.ru за апрель 2011 г.)

На основе этих данных трудно сделать вывод о наличии уязвимостей в браузерах посетителей, но кое-какая информация наводит на размышления.

Opera

16% пользователей браузера не удосужились обновить его до версии 11, на что у них было почти четыре месяца. Как результат, они выходят в Интернет с несколькими уязвимостями, как минимум одна из которых имеет высокую степень опасности.

Firefox

Многие приверженцы Firefox не спешат обновлять любимый браузер. На диаграмме картина через три недели после выхода Firefox 4, а еще через недели его доля была уже 50% против 42% у 3.6.

При этом 3% пользователей точно работают с известными уязвимостями, а про версии 3.5.х и 3.6.х ничего нельзя сказать с уверенностью. На них можно установить исправления безопасности, не обновляя браузер, но почему-то меня терзают смутные сомнения в поголовной актуальности этих версий.

Chrome

Браузер Google наплодил столько версий, что разобраться в них непросто. Во-первых, версии 11 и 12 на диаграмме – это предварительные выпуски (финальная версия 11 появилась позже). Во-вторых, после выхода первой стабильной версии 10 было еще два обновления, которые закрыли 7 уязвимостей высокой степени опасности. Статистика mail.ru не дает достаточной степени детализации по версиям. Но даже и без учета этих данных 12.5% пользователей Chrome работают в старых версиях с огромным количеством уязвимостей.

Любопытно, что Chrome – единственный браузер, увеличивший свою долю на OSZone за год, если сравнить с прошлогодним раскладом. В основном, он завоевал сердца пользователей IE и Firefox.

Internet Explorer

Несмотря на явные улучшения в IE8, 21% пользователей браузера Microsoft до сих пор доверяются версиям 6 и 7. Остается только гадать, установлены ли для них многочисленные заплатки. Заметьте, что на IE6 до сих пор сидит каждый десятый пользователь браузера Microsoft. Не случайно, в Microsoft главным соперником IE9 считают IE6!

Доля IE9 пока невелика, но на Windows XP до сих пор сидит больше половины посетителей сайта, которым IE9 не светит. Опять же, статистика mail.ru не дает возможности посмотреть процент пользователей IE9 на Windows 7, но в моем блоге их уже почти в 1.5 раза больше, чем оставшихся на IE8!

Общая картина

За последний год аудитория OSZone не слишком изменила своим привычкам. Если считать устаревшими версии ниже IE8, Chrome 9, Firefox 3.6 и Opera 10, то на день написания статьи ими пользуется 11% человек. Для старых версий IE и Firefox теоретически могут быть установлены все заплатки, но даже если это так, концептуально они уже сильно отстали с точки зрения безопасности.

Спустя не меньше полутора месяцев после выхода новой версии любого из браузеров, таковой еще не имеют 38% человек. С последней версией браузера на компьютерный портал приходит лишь 62% процента аудитории.

А ведь у нас все увешано новостями и статьями о новых версиях браузеров!

На других сайтах картина еще хуже – это показывает даже беглый осмотр статистики, например, Мой Мир @Mail.Ru. А это значит, что у злоумышленников еще достаточно возможностей попортить кровь неопытным интернетчикам.

И какой же браузер безопаснее?

Если говорить исключительно об уязвимостях браузеров, то очевидно одно – чтобы у вас был самый безопасный браузер, его надо обновлять автоматически и страховать защитной программой. Вероятность попасть под уязвимость 0-day намного ниже, чем поймать что-то в устаревшем браузере.

Количество же уязвимостей не играет особой роли, тем более, что бреши в защите браузеров закрываются более-менее оперативно. Так, в Chrome больше всего уязвимостей, но Google и устраняет их быстрее всех.

Однако оценивать безопасность браузеров лишь по собственным уязвимостям было бы неправильно. Атаки направлены не только на них, но и на дополнения, без которых веб-серфинг как еда без соли. А еще огромную роль играет человеческий фактор. И через несколько дней мы продолжим разговор о безопасности в Интернете.

Вас ожидает вторая часть материала, в которой речь пойдет об уязвимостях дополнений и средствах противодействия фишингу в современных браузерах.

А вы читаете эту статью в самой последней версии браузера? Устанавливаете ли вы обновления автоматически или принимаете решение при появлении уведомлений? Как быстро вы устанавливаете обновления и новые версии после их выхода?