De fleste nye oppdateringer til nettlesere og relatert programvare gis ut for å fjerne relativt alvorlige sikkerhetshull. Dette er sikkerhetshull som temmelig sikkert vil bli utnyttet av kriminelle i lang tid etter at de er blitt oppdaget og fjernet i oppdateringer. Årsaken er at så mange unnlater å laste ned og oppdatere programvare. Dette bidrar til at de kriminelle trolig kan leve glade dager.
Forskere fra IBM Internet Security Systems, Google i Sveits og høyskolen ETH Zürich har beregnet at så mye som 637 millioner nettleserbrukere, noe som skal utgjøre en andel på 45,2 prosent, ikke har installert den nyeste versjonen av nettleseren de benytter.
Dette viser tall hentet fra Googles logger. Men situasjonen er trolig enda verre - forskerne kaller andelen over for «toppen av isberget», for svært mange benytter også eldre utgaver av nettleser-plugins, slik som Flash, Java, Quicktime og Adobe Reader. Sårbarhetene som er blitt fjernet i nyere utgaver av disse nettleserne, er like alvorlige som sårbarhetene som har blitt oppdaget og fjernet fra nettleserne.
Dette er likevel en antakelse, for tallene fra Googles logger sier ingenting om hvilke nettleserplugins brukerne benytter.
Les også:
- [07.10.2008] IE taper flest brukere til Chrome
- [03.07.2008] Sårbarheter fjernet fra Firefox 2.x
- [20.06.2008] Lynraskt generasjonsskifte for Firefox
- [05.06.2008] Over halvparten har droppet Internet Explorer
- [29.04.2008] Stadig flere forkaster Internet Explorer
Av de fire viktigste nettleserne, er det bare Internet Explorer som ikke oppgir nøyaktig versjonsnummer i informasjonen som sendes til webservere. Dermed har Google kunne se nøyaktig hvilken versjonsnummer av enten Firefox, Safari og Opera som er blitt benyttet under besøket.
Forskerne har derfor benyttet tall fra Secunia Software Inspector.
I perioden januar 2007 til juni 2008 var den minste andelen Firefox-brukere på Googles nettsteder som ikke benyttet siste versjon på 16,7 prosent. For Safari var andelen minst 34,7 prosent. Tilsvarende var det minimum 43,9 prosent av Opera-brukerne som benyttet en ikke-oppdatert versjon, mens andelen blant Internet Explorer-brukerne ikke har vært lavere enn 52,4 prosent i løpet av perioden.
Likevel mener forskerne at brukerne av Secunias løsninger for å finne utdatert programvare er mer oppmerksomme på sikkerheten enn gjennomsnittbrukerne. Det er den høye andelen som fortsatt bruker Internet Explorer 6, som er årsaken til det svake tallet for Microsofts nettleser.
Windows-brukere som ønsker å sjekke om de benytter de nyeste utgavene av en lang rekke programmer, kan sjekke dette ved hjelp av Secunia Personal Software Inspector, som kan lastes ned fra denne siden.
Forskerne har også sett på hvor raskt brukerne tar i bruk mindre oppdateringer til nettleserne. Her ligger Firefox-brukerne best an. I løpet av måleperioden tok det i snitt tre dager før andelen som benyttet siste oppdatering av nettleseren fra Mozilla var steget til et metningspunkt på 83 prosent. For Opera ble metningspunktet på 56 prosent nådd etter 11 dager.
Begge de to nettleserne har innebygde varsler om at nye versjoner er tilgjengelige, men forskerne mener metoden som benyttes av Firefox, som bare krever et museklikk fra brukeren for installasjonen, er den mest vellykkede.
Apple tar i bruk et eksternt verktøy for å varsle om oppdateringer til Safari. Dette kjøres med jevne mellomrom, uavhengig av bruken av nettleseren. Oppdateringer til Internet Explorer utgis gjerne gjennom de faste, månedlige oppdateringsrundene og er tilgjengelige gjennom Windows Update.
Basert på resultatene, kommer forskerne med en sterk anbefaling om å bygge en automatisk oppdateringsmekanisme inn i nettleseren, slik at oppdateringene kan lastes ned og tas i bruk så raskt og effektivt som mulig.
Mekanismene bør i utgangspunktet være aktivert og blande inn brukeren minst mulig. De samme mekanismene bør også kunne varsle brukeren om at det har kommet nyere og sikrere versjoner av plugins og andre nettlesertillegg.
Men for å unngå at alle nettleserleverandørene må lage sine egne løsninger for dette, foreslår forskerne at informasjonen om de nyeste versjonene av nettleserne og vanlige plugins systematisk samles inn av pålitelige organisasjoner og gjøres tilgjengelig gjennom en standardisert spørreprosess.
Forskerne ønsker også at nettleserne utstyres med en «best før-dato», tilsvarende det mange matvareprodukter er utstyrt med. Når denne datoen er passert, bør brukeren varsles kontinuerlig om dette gjennom brukergrensesnittet, men gjerne også av nettsteder som registrerer versjonsnummeret til nettleseren. Illustrasjonene nedenfor viser eksempler på begge deler.
Hele rapporten fra undersøkelsen er gjengitt her.
Les også:
- [07.10.2008] IE taper flest brukere til Chrome
- [03.07.2008] Sårbarheter fjernet fra Firefox 2.x
- [20.06.2008] Lynraskt generasjonsskifte for Firefox
- [05.06.2008] Over halvparten har droppet Internet Explorer
- [29.04.2008] Stadig flere forkaster Internet Explorer