Apple, Opera gesampeld over browser-patch Regimes

Apple en Opera blijven achter bij Google en Mozilla als het gaat om het verspreiden van webbrowserupdates vanwege de manier waarop ze hun patchprogramma's hebben gestructureerd, volgens nieuw onderzoek.

Slechts 53 procent van de gebruikers van een 3.x-versie van Safari heeft binnen drie weken een nieuwe update toegepast, schreef Thomas Duebendorfer van Google Switzerland en Stefan Frei van het Zwitserse Federale Instituut voor Technologie (ETH Zürich) in een onderzoekspaper.

Ook zijn mensen met een 3.2-versie van Safari verplicht een Tiger- of Leopard-besturingssysteem wordt eerst bijgewerkt voordat nieuwe browserupdates worden ontvangen, waardoor het algehele patchproces wordt vertraagd. Binnen drie weken na de release van Safari-versie 3.2.1, bijvoorbeeld, had slechts 33 procent van de gebruikers het geïnstalleerd.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

De browser van Opera zal controleren op updates eenmaal per week, maar een gebruiker moet dezelfde installatieprocedure doorlopen voor updates alsof ze voor de eerste keer Opera installeren. Het is een omslachtig proces, schreven de onderzoekers.

"Al met al geeft de slechte update-effectiviteit van Apple Safari en Opera aanvallers voldoende tijd om bekende exploits te gebruiken om gebruikers van verouderde browsers, "schreven de onderzoekers.

Frei en Duebendorfer verzamelden hun gegevens op browsers door de weblogs van Google te analyseren, die de user-agent-reeksen van browsers registreren. Een tekenreeks van een gebruikersagent bestaat uit gegevens die meestal het type webbrowser en de versie die een persoon gebruikt onthullen.

De Microsoft Internet Explorer-browser is van sommige delen van het onderzoek uitgesloten, omdat de tekenreeks van de user-agent geen incrementele versiewijzigingen voor de beveiliging onthult redenen.

Google's Chrome kwam er bovenop. Uit de studie bleek dat 97 procent van de Chrome-gebruikers op versie 1.x binnen drie weken een upgrade ontving. Chrome gebruikt een stil updatemechanisme waarbij updates automatisch worden gedownload zonder gebruikersprompts en vervolgens worden toegepast wanneer de browser opnieuw wordt gestart.

Google heeft ook de automatische updatetechnologie, met de codenaam Omaha, open gemaakt, wat betekent dat iedereen deze kan gebruiken. Omaha zal Google om updates vragen, zelfs wanneer Chrome niet actief is, schreven de onderzoekers. Chrome controleert om de vijf uur op updates.

Chrome-gebruikers kunnen een update-niveau van 100 procent niet halen vanwege andere problemen, zoals mensen die de browser niet opnieuw opstarten, firewalls die updates blokkeren en sommige computers, zoals internetcafés, die worden uitgevoerd alleen-lezen softwarebeelden in virtuele machines die geen software-updates toestaan, schreven ze.

Mozilla's Firefox-browser kwam op de tweede plaats, met ongeveer 85 procent van de gebruikers die de laatste versie 21 dagen na de release gebruikten. Firefox controleert regelmatig of er updates zijn en vraagt ​​gebruikers ook om de nieuwe versie te installeren, wat bijdraagt ​​aan de snelle updates die ze hebben geschreven.

Het updaten van een webbrowser is belangrijk omdat het een van de meest aangevallen applicaties is. Frei en Duebendorfer schreven dat in totaal 45,2 procent van de internetgebruikers niet de laatste versie van hun webbrowser gebruikte, volgens de Google-serverlogboeken die ze hebben geanalyseerd.

"Webbrowsers hebben dringend behoefte aan een zeer effectief updatemechanisme of ze verliest de strijd voor het beveiligen van kwetsbare webbrowsers voordat hun gebruikers het slachtoffer worden van aanvallers, "schreven ze.