Jump to content
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Dziurawe wtyczki narażają internautów

Recommended Posts

Analitycy firmy Qualys ostrzegają, że wiele użytkowników przeglądarek wykorzystuje przestarzałe, dziurawe wersje wtyczek. Badania przeprowadzone na próbie 420 000 skanów dokonanych za pomocą narzędzia Browsercheck wykazały, które z plug-inów narażają nas na największe niebezpieczeństwo.

Okazało się, że najrzadziej użytkownicy aktualizują wtyczkę do obsługi Javy. Jest ona obecna na 80% przeglądarek, a 40% z nich korzysta z starych dziurawych wersji. Na drugim miejscu uplasowało się rozszerzenie dla Adobe Readera. Również i ta wtyczka wykorzystywana jest przez 80% internautów, a dziurawej wersji używa 30% z nich.

Najbardziej popularne rozszerzenie, Flash, zainstalowane jest w 95% przeglądarek, ale jedynie 20% z nich korzysta z wadliwej wersji. Inne wtyczki wideo, takie jak Shockwave czy Quicktime znaleziono na 40% przeglądarek, z czego 20-25 procent jest wadliwych.

Ogólnie rzecz biorąc wtyczki odpowiadają za aż 80% dziur w przeglądarkach. Same browsery zawierają 20% ogólnej liczby luk.

Zdaniem Qualysu sytuacja taka jest spowodowana faktem, że każdą wtyczkę trzeba aktualizować osobno. Dlatego specjaliści zauważają, że większe bezpieczeństwo zapewnia mechanizm stosowany w Chrome, gdzie mechanizm aktualizowania niektórych rozszerzeń został wbudowany w mechanizm aktualizacji przeglądarki.

Share this post


Link to post
Share on other sites

Dzięki za linka :) Miałem nieaktualną Javę :P Ale jeszcze nie było zagrożenia - był pomarańczowy status :)

 

Za to wykryło mi czerwony na RealPlayera... którego ja w ogóle nie mam zainstalowanego ;) Także jego brak raczej nie powinien powodować dziur :P

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By KopalniaWiedzy.pl
      Zaoferowana przez Google’a nagroda za złamanie zabezpieczeń Chrome’a zachęciła hackerów do działania. Przeglądarka Google’a jako pierwsza poddała się uczestnikom konkursu Pwn2Own. W ubiegłym roku żaden z hackerów nie próbował się do niej włamać. Tym razem było inaczej i nie pomogło łatanie przeglądarki na kilka dni przed konkursem. Współzałożyciel francuskiej firmy VUPEN Chaouki Bekrar i jego zespół wykorzystali dwie dziury typu zero-day w Chrome do przejęcia kontroli nad komputerem z w pełni załatanym 64-bitowym Windows 7.
      Bekrar powiedział, że znalezienie dziur i napisanie odpowiedniego kodu zajęło 6 tygodni. Musieliśmy użyć dwóch dziur. Za pomocą pierwszej obeszliśmy technologie zabepieczające DEP i ASLR w Windows, a druga umożliwiła nam wyjście poza „piaskownicę“ Chrome’a. Nie chciał zdradzić, czy luka działa na kodzie Google’a czy firmy trzeciej. To była dziura typu use-after-free [związana z nieprawidłowa alokacją pamięci po jej zwolnieniu - red.] w domyślnej instalacji Chrome’a. Nasz kod działa na domyślnej instlacji, więc nie ma znaczenia, czy wykorzystuje on [dostarczony wraz z przeglądarką - red.] kod firmy trzeciej - mówi.
      Podczas demonstracji Bekrar stworzył spreparowaną witrynę, a gdy odwiedzono ją za pomocą komputera wyposażone w Chrome, doszło do automatycznego ataku i otwarcia Kalkulatora poza „piaskownicą“. Nie jest wymagana żadna interakcja ze strony użytkownika, żadne dodatkowe kliknięcia. Wchodzimy na stronę i program jest uruchamiany.
      Bekrar pochwalił jednocześnie Chrome’a. Jego zdaniem Google stworzył bardzo bezpieczny sandbox i Chrome jest jedną z najbezpieczniejszych przeglądarek.
      Drugą przeglądarką, która poddała się atakom, była Safari zainstalowana w systemie Mac OS X. Również i ona padła ofiarą ekspertów z VUPEN. Atak przeprowadzono w zaledwie 5 sekund, co każe poważnie zastanowić się nad prawdziwością poglądu, jakoby Mac OS X był bezpieczniejszy od Windows. Zdaniem hackerów, wcale tak nie jest. System Apple’a nie dość, że korzysta tylko z technologii ASLR, a nie używa DEP, to dodatkowo jest ona źle zaimplementowana. Ataku na Safari dokonano za pośrednictwem silnika WebKit, który zawiera wiele dziur. Co prawda z WebKita korzysta też Chrome, jednak Google znacznie poprawił kod silnika, dzięki czemu jego przeglądarka jest bezpieczniejsza.
    • By KopalniaWiedzy.pl
      Kara, którą sam sobie wymierzył Google, okazała się dotkliwa dla przeglądarki Chrome. Jej rynkowe udziały spadły, zyskały natomiast Internet Explorer i Firefox.
      Jeszcze w grudniu dotychczasowy trend wśród przeglądarek utrzymywał się. Chrome zyskiwał, jego najwięksi konkurenci tracili. W listopadzie, według Net Applications, do IE należało 52,64% rynku, a w grudniu odsetek ten spadł do 51,87%. W tym samym czasie udziały Firefoksa zmniejszyły się z 22,14% do 21,83%. Chrome zwiększył swój stan posiadania z 18,18% do 19,11%.
      Jednak na początku stycznia Google ukarał się za wpadkę z płatnymi linkami w swojej wyszukiwarce zmniejszając Page Rank witryny Chrome’a do 0.
      Od razu zyskał na tym Internet Explorer, którego udziały zwiększyły się do 52,96%. Firefox znowu spadł do 20,88%, ale spadły też udziały Chrome’a, który stracił 0,17 punkta procentowego. W lutym udziały Chrome’a zmniejszyły się do 18,90%. Spadł też - o 0,12 pp - Internet Explorer. Zyskał za to Firefox, do którego należy obecnie 20,92% rynku.
      Obserwując rynkowe trendy można stwierdzić, że gdyby Google się nie ukarał, to w lutym miałby szansę ostatecznie przegonić Firefoksa i zostać drugą najpopularniejszą przeglądarką na świecie.
    • By KopalniaWiedzy.pl
      Pół roku temu Mozilla niemiło zaskoczyła korporacyjnych użytkowników Firefoksa kończąc wsparcie dla Firefoksa 4 zaledwie po trzech miesiącach od premiery przeglądarki. Wówczas firma została bardzo ostro skrytykowana za takie postępowanie.
      Teraz producent Firefoksa najwyraźniej zmienił swoje stanowisko i, wbrew temu co przed sześcioma miesiącami pisał Asa Dotzler, postanowił jednak pielęgnować rynek przedsiębiorstw.
      Firma ogłosiła, że pod koniec bieżącego miesiąca wyda edycję Firefox ESR (Extended Support Release). Nowe wersje przeglądarki z linii ESR będą wydawane co 42 tygodnie, a wersja poprzednia będzie wspierana przez 12 tygodni po ukazaniu się nowej edycji. Oznacza to, że użytkownicy Firefoksa ESR będą mogli liczyć na 54-tygodniowe wsparcie produktu. Dłuższy cykl wsparcia jest niezwykle ważny dla przedsiębiorstw, gdyż przed zainstalowaniem nowego oprogramowania muszą je one przez wiele tygodni testować pod kątem kompatybilności z używanymi przez siebie programami. Ponoszą przy tym spore koszty, więc nie mogą sobie pozwolić na zbyt częstą wymianę programów.
    • By KopalniaWiedzy.pl
      Google poinformował o ukaraniu... samego siebie obniżeniem rankingu przeglądarki Chrome w firmowej wyszukiwarce oraz obniżeniem indeksu PageRank witryny www.google.com/chrome. Decyzję taką podjęto po tym, gdy dwóch blogerów odkryło, że Chrome był reklamowany za pomocą płatnych linków. Działanie takie jest sprzeczne z polityką Google’a i może grozić za nie nawet usunięcie z indeksu wyszukiwarki.
      Blogerzy Aaron Wall i Danny Sullivan nagłośnili sprawę i zaczęli się zastanawiać, czy Google zastosuje wobec siebie te same zasady, które stosuje wobec innych łamiących regulamin.
      Koncern już zaczął wymierzać sobie karę. Jeśli w wyszukiwarce wpiszemy termin „browser“, to na drugim miejscu nie znajdziemy, jak dotychczas, odnośnika do witryny, z której można pobrać Chrome’a. Został on przesunięty na szóstą pozycję piątej strony wyszukiwania. Ponadto PageRank witryny Chrome’a został obniżony do 0.
      Wpisanie terminów „google chrome“ czy „chrome“ nadal sytuuje przeglądarkę wśród najlepiej wyszukiwanych terminów, jednak odnośniki prowadzą do witryn z poradami, jak zainstalować Chrome’a, a nie do strony, gdzie można go pobrać.
      Google tłumaczy, że nie autoryzował kampanii umieszczania płatnych linków do witryny Chrome’a. Koncern wyjaśnia, że kampanię zamówił jej partner marketingowy firma Unruly Media. Przedstawiciele Unruly Media mówią, że w ramach kampanii opłaceni blogerzy mieli napisać o Chrome, ale nie proszono ich o linkowanie do witryny przeglądarki. Tymczasem co najmniej jeden z nich, przy materiale wideo opisującym Chrome’a, umieścił informację „Opłacone przez Google’a“, która została zlinkowana do witryny Chrome’a. Link nie zawierał argumentu nofollow, co narusza zasady Google’a, gdyż w ten sposób roboty wyszukiwarki indeksują link, podbijając PageRank witryny, do której linkuje.
    • By KopalniaWiedzy.pl
      Na oficjalnym blogu zespołu pracującego nad Windows ogłoszono, że kampania Microsoftu, której celem było zachęcenie użytkowników do porzucenia przeglądarki Internet Explorer 6 odniosła sukces. Z danych Net Applications wynika bowiem, że w USA IE6 jest używany przez mniej niż 1% internautów.
      W marcu ubiegłego roku Microsoft uruchomił specjalną witrynę, która miała za zadanie przyspieszyć proces porzucania przestarzałej przeglądarki. Chciałem poinformować, że USA dołączyły do Austrii, Polski, Szwecji, Danii, Finlandii i Norwegii, gdzie liczba użytkowników IE6 wynosi mniej niż 1 procent. Ponadto Czechy, Meksyk, Ukraina, Portugalia i Filipiny również zbliżają się do tego poziomu - czytamy na blogu.
      Microsoft od dłuższego czasu starał się o zmniejszenie popularności IE6, a jednym z najgłośniejszych wydarzeń stało się wysłanie przez firmę wiązanki kwiatów na „pogrzeb“ IE6 zorganizowany przez firmę Aten Design Group.
      Z okazji spadku udziałów IE6 w Microsofcie urządzono małe przyjęcie. 
×
×
  • Create New...