セキュリティ専門家によると、ユーザーが立ち上げたWebブラウザの10分の8がエクスプロイト攻撃に対して脆弱です。
Qualys SecurityのCTOであるWolfgang Kandeckは、 サンフランシスコで開催されたRSA会議で発表されたBrowserCheckの研究データを発表しましたが、ブラウザーのエラー修正プロセスの状態が悪いことに不満を感じています。
「 正直なところ、数字はもっと小さくなると思いました 」とカンデック氏は結果に驚いて、ブラウザと一般的に使用されるコンポーネントの約80%が時代遅れで安全ではないと述べました。
BrowserCheckは 、Windows、Mac OS X、Linuxを実行しているコンピューターをスキャンして、Adobe Flash / Reader、Oracle Java RE、MS Silverlight、Windows Mediaなどのプラグインを含む脆弱なブラウザーを探します。
2010年6月の初めから、ユーザーブラウザーの約65〜90%に少なくとも1つの安全でないコンポーネントがありました。 2011年1月、この指標は約80%で停止しました。
さらに悪いことに、ブラウザプラグインの30%は永続的に保護されておらず、Microsoft Windowsについては、約10%が更新プログラムをまったく受信していませんでした。
プラグインなしでブラウザをスキャンする場合、スキャンされたマシンの4分の1だけが保護されていないWebブラウザを搭載していました。
Kandekは、ブラウザの更新がほとんどの場合ユーザーの良心に残るという証拠として結果を読みました。
ほとんどのプラグインとは異なり、ブラウザ自体はGoogle Chromeなどのユーザーの知らないうちに更新されます。または、少なくともMS Internet ExplorerやMozilla Firefoxなどの更新を確認します。
スキャンされたマシンでは、最も古くなったモジュールはOracle Javaでした。これはマシンの40%で更新する必要があり、Adobe Readerは32%で、AppleのQuickTime 3は25%で終了しました
Java REは昨年最初の場所にあり、カンデックは次のように結論付けました。
「ほとんどのユーザーは、Java REを持っていることと、それをどのようにインストールしたかさえ知らないに違いない。 一部のエクスプロイト作成者は、Java REがツールキットのちょっとしたものの1つであることさえ認めています。
Oracleは通常、Java REアップデートを四半期ごとにリリースしますが、重要なバグを修正するために、先週、特別な特別なパッチがリリースされました 。
カンデックは、この状況に対する2つの解決策があると考えています。
「単一のアップデートソースが望ましい」と彼は述べ、Microsoftがサードパーティのモジュール修正をリリースするために仕事をすることをほのめかした。 「多くのプラグイン更新メカニズムは、1つでもほとんどマスターできないユーザーを混乱させます。」
2番目のソリューションは、HTML5開発の分野における最新のブラウザーとその機能、オーディオ、ビデオの処理、アプリケーションの実行、つまりFlash、QuickTime、WMPなどのサードパーティモジュールの現在の仕様です。
「ブラウザでHTML5の機能を強化すると、肥大化したプラグインパーク全体を取り除くのに役立ちます」とスペシャリストは言いました。
彼はまた、ChromeとともにFlashを更新し、そのPDFビューアをブラウザに埋め込むGoogleを完全にサポートしたと述べました。