Question:
Pourquoi est-ce un problème de sécurité de ne pas mettre à jour son navigateur?
Thomas
2014-09-17 22:58:33 UTC
view on stackexchange narkive permalink

Est-ce en général un problème de sécurité de ne pas mettre à jour votre navigateur. Firefox me demande constamment de mettre à jour mon navigateur, mais à quel point est-il dangereux de ne pas mettre à jour?

Dans le cadre de cette question, j'aimerais savoir quel est exactement ce problème. Quels sont les risques de ne pas mettre à jour votre navigateur? Que pourrait-il arriver exactement?

En fait, vous devez mettre à jour chaque logiciel qui entre en contact avec Internet.
Chaque morceau de logiciel.
La meilleure question est ... pourquoi pas vous? En fait, avec les navigateurs récents, ils feront le travail pour vous.
@user10008 J'ajouterais: non seulement ceux qui entrent en contact avec Internet, mais tous les logiciels. Un bon exemple est Adobe Acrobat Reader (lecture de fichiers PDF non autorisés transmis hors ligne)
@Adnan Adobe Acrobat Reader est la plupart du temps également un plugin dans les navigateurs, mais oui, même si ce n'est pas le cas, vous devez mettre à jour tous les logiciels qui entrent en contact avec quoi que ce soit à l'extérieur (pensez à conficker) .... donc fondamentalement c'est tout. Les logiciels qui sont en contact avec Internet ont cependant une importance plus élevée.
En ce qui concerne "pourquoi pas vous" ... Les mises à jour du navigateur ont un mauvais bilan de ne pas afficher les sites qui s'afficheraient auparavant. Habituellement, c'est le problème du développeur Web, mais c'est peu de consolation pour le travailleur professionnel (ou l'utilisateur à domicile) qui a des factures à payer mais qui ne peut soudainement pas faire ses opérations bancaires après les mises à jour automatiques du navigateur.
Vous vous souvenez de Heartbleed? Il a produit des attaques contre des clients ainsi que des serveurs. https://security.stackexchange.com/questions/55119/does-the-heartbleed-vulnerability-affect-clients-as-severely
Parce que sinon, vous pouvez trouver des développeurs frontaux vous traquer avec un clavier pour utiliser IE6
Notez que rien dans les réponses ci-dessous n'est propre aux navigateurs. C'est juste que de nos jours, nous avons tendance à passer plus de temps dans le navigateur que presque tous les autres programmes, c'est donc un vecteur particulièrement précieux.
Neuf réponses:
RoraΖ
2014-09-17 23:10:00 UTC
view on stackexchange narkive permalink

Parce que des vulnérabilités de sécurité sont constamment détectées dans les logiciels. Ces vulnérabilités sont parfois divulguées publiquement, parfois non. Dans tous les cas, lorsque les développeurs les découvrent ou les découvrent, ils les corrigent. L'exécution d'anciennes versions de navigateurs vous rend vulnérable aux sites Web malveillants qui tentent d'infecter votre ordinateur.

Vous trouverez ci-dessous des liens vers des pages Web répertoriant les vulnérabilités qui ont été corrigées dans des versions relativement récentes des 3 navigateurs les plus populaires.

Microsoft Internet Explorer

Mozilla Firefox

Google Chrome

Tous les navigateurs vont avoir des bogues, et tous auront des vulnérabilités. Mais rester informé des vulnérabilités connues peut aider à empêcher les attaquants d'accéder à votre système.

Modifier

Merci à kirb pour ces liens supplémentaires aux blogs à jour des mises à jour de sécurité du navigateur

IEBlog
Versions de Google Chrome

Pour certains détails, j'ai travaillé dans le département infosec pour une grande organisation. Des ordinateurs étaient régulièrement infectés par des logiciels malveillants, et c'était presque TOUJOURS via le navigateur. C'était généralement dans les réseaux publicitaires (ce qui est une autre raison de bloquer les publicités). Un utilisateur surfait de manière innocente sur des sites Web légitimes qui auraient une annonce provenant d'un réseau publicitaire légitime. Le réseau publicitaire légitime a été revendu à quelqu'un d'autre, qui l'a vendu à quelqu'un d'autre, etc. Quelque part dans le bas de la ligne, il y a un oage dans une iframe chargeant un contrôle ActiveX hostile qui exploitera un navigateur non corrigé. Alors oui, corrigez vos navigateurs.
@user10008 -1 pour les liens, je ne pense pas qu'ils ajoutent quoi que ce soit de pertinent à la réponse.
@WilliamDavidEdwards L'ajout de liens (et d'autres types de références) est considéré comme une bonne pratique et requis pour le travail scientifique. Tout le monde peut réclamer n'importe quoi sur Internet.
IE et Chrome ont des blogs dans lesquels les vulnérabilités corrigées sont révélées comme le lien Firefox; [IEBlog] (http://blogs.msdn.com/b/ie) et [Google Chrome Releases] (http://googlechromereleases.blogspot.com).
Le travail scientifique d'@user10008 prend beaucoup plus, et pour cette question, vous devrez prouver que le coût de la mise à jour de son navigateur vaut les avantages en général. C'est une réponse plus difficile (pensez au si longtemps et non merci pour le genre de travail sur les externalités).
@SteveDL beau papier. Il y a une part de vérité là-dedans, c'est pourquoi je ne pense pas que les propriétaires de sites Web devraient obtenir leur rack de serveurs 2 terahash pour le calcul PBKDF2, juste pour avoir un "hachage fort". Mais peut-être que lorsque les gens ne «gaspillaient» pas leur temps à supprimer 99% de faux positifs, les attaques deviendraient plus faciles, et plus encore. C'est comme construire un mur et ensuite vouloir le démolir parce que personne ne s'en remet, et 99% du temps, personne ne tente de s'en remettre. Je pense que montrer une liste de vulnérabilités et dire "les rouges sont tous des moyens d'installer des logiciels malveillants sur votre ordinateur" est impressionnant.
@kirb Merci pour ces liens! J'ai mis à jour ma réponse pour les inclure.
Steve Dodier-Lazaro
2014-09-18 01:23:20 UTC
view on stackexchange narkive permalink

Je ne fais que répéter d'autres réponses, mais essayons de l'expliquer en utilisant une métaphore. Un programme informatique est une longue description de la façon dont l'ordinateur doit se comporter, en fonction des informations qui lui sont données. Un programme de navigateur reçoit des instructions d'un programme de serveur Web et dessine une page Web que vous pouvez utiliser. Il indique ensuite au serveur Web la page suivante qu'il souhaite visiter, et ainsi de suite.

Nous, les développeurs, faisons de nombreuses erreurs lors de l'écriture de programmes. Nous oublions parfois certains cas extrêmes, dans dans ce cas, nos programmes se comporteront de manière erratique et causeront éventuellement des dommages. Parfois, des instructions spécifiques permettent de contourner une vérification que nous effectuons, par exemple en permettant à quelqu'un de modifier les paramètres de votre navigateur ou de provoquer un téléchargement sans votre approbation. En bref, les erreurs sont exploitées de toutes les manières imaginables .

Dans d'autres cas, les programmes se comportent de manière si erratique qu'ils commencent à écrire des ordures en haut de leur propre liste d'instructions (comme un enfant dessinerait en haut de votre liste de courses). Les attaquants savent très bien trouver ces cas (que nous appelons exploits) et guider les navigateurs pour qu'ils écrivent des choses très spécifiques (la charge utile) au-dessus des instructions originales plutôt que des ordures.

Lorsque cela se produit, les développeurs le découvrent tôt ou tard (souvent des mois / années plus tard), et ils améliorent le code source du programme en supprimant les ambiguïtés ou les erreurs qui ont permis l'exploitation. Ils publient ensuite une nouvelle version qui n'est plus vulnérable.

Lorsque vous utilisez une ancienne version d'un logiciel, cela signifie qu'il est vulnérable aux exploits connus et bien documentés , toute personne avec un peu d'esprit peut donc exploiter votre logiciel et endommager votre ordinateur et vos données. En particulier, les navigateurs Web sont constamment exposés à des informations provenant de tiers inconnus qui peuvent être malveillants.

Les serveurs Web peuvent appartenir à des mafias cherchant à gagner de l'argent en installant des logiciels malveillants sur n'importe quel ordinateur passant (qui suit vos opérations bancaires en ligne, vole des fichiers qui semblent contenir des informations financières ou des mots de passe, vous suit en ligne pour vous proposer des publicités, vous résolvez les CAPTCHA pour le compte de robots de spam ou utilisez les ressources de votre ordinateur pour envoyer du spam).

D'autres attaquants pénètrent même dans des serveurs légitimes et y ajoutent des logiciels malveillants, donc même en visitant un site Web parfaitement réputé car YouTube ou Facebook peuvent conduire à des logiciels malveillants. La meilleure défense que vous avez contre cela est de ne pas être vulnérable aux moyens bien connus dont votre navigateur peut être exploité, en le mettant à jour.

JekwA
2014-09-17 23:05:56 UTC
view on stackexchange narkive permalink

Eh bien, le but de la mise à jour / du correctif est de corriger les vulnérabilités connues. Tous les bogues / vulnérabilités trouvés dans la version de Firefox que vous utilisez pourraient être exploitables. La mise à jour de votre navigateur modifiera le fonctionnement du navigateur et empêchera l'exploitation de ces vulnérabilités. C'est vraiment aussi simple que cela.

La mise à jour peut également introduire de nouvelles vulnérabilités, mais étant une nouvelle version, la connaissance des nouvelles vulnérabilités est probablement faible, jusqu'à ce qu'elle soit sortie depuis un certain temps et que les gens en trouvent, puis les développeurs publient un nouveau patch et le cycle se répète.

Les mises à jour incluent également souvent des augmentations de performances, donc un fonctionnement plus rapide, une conception plus élégante ou diverses autres améliorations de l'expérience utilisateur.

Pouvez-vous donner des exemples de ce qui pourrait arriver exactement? Quelle est la fréquence de ces failles de sécurité?
Ils sont extrêmement courants. Nous faisons tous des erreurs lors de la programmation et les navigateurs contiennent des millions de lignes de code (instructions tapées manuellement par les programmeurs). Les ingénieurs en logiciel estiment que vous devriez vous attendre à 10 à 50 erreurs pour 1000 lignes de code, ce qui donne des dizaines de milliers d'erreurs inconnues dans n'importe quel navigateur.
Ángel
2014-09-18 04:13:56 UTC
view on stackexchange narkive permalink

Il y a deux raisons principales pour créer une nouvelle version d'un programme: (dans ce cas un navigateur)

  • Pour ajouter de nouvelles fonctionnalités (par exemple, visionner une vidéo dans le navigateur).

    / li>

  • Pour résoudre un problème, qui peut être:
    • Un problème mineur (tel que cmd-L n'ouvre pas une nouvelle fenêtre lorsqu'aucune fenêtre n'est disponible )
    • Un gros problème (par exemple, une page Web malveillante peut lire les données d'autres requêtes [ 1])

Certains changements sont un peu plus difficiles à classer ( l'amélioration des performances est un correctif ou une fonctionnalité?)

La plupart des gros problèmes sont la résolution des problèmes de sécurité une sorte de vulnérabilité. Un navigateur moderne est aussi complexe qu'un système d'exploitation, il est extrêmement difficile de ne pas avoir d'erreurs.

Il existe également de nouvelles fonctionnalités améliorant la sécurité qui n'impliquent pas de vulnérabilité (mais vous devriez essayez d'adopter).

Certains programmes (par exemple, un créateur de cartes postales), il n'est pas si critique d'avoir la dernière version. Principalement parce que vous ne l'utilisez qu'avec des fichiers de confiance (ceux que vous avez créés), le risque d'être infecté est donc assez faible.

D'un autre côté, les navigateurs Web sont utilisés quotidiennement pour visiter de nombreux sites non fiables . Et par non fiable, je le pense vraiment. Si vous êtes un grand utilisateur d'Internet, il est très étrange que vous ne visitiez pas un site Web qui pourrait être compromis pendant quelques semaines. Le journal en ligne que vous lisez? Devinez ce qui peut être fait dans son réseau publicitaire. Lorsque vous avez recherché X sur Google? Ce résultat de recherche aurait pu être un exploit, etc, etc.

Il y a beaucoup de méchants qui essaient de vous infecter (et principalement via votre navigateur ou l'un de ses plugins). Parfois, ils tentent une seule vue, d'autres qu'ils essaient autant qu'ils le peuvent (un kit d'exploit), essayant tout ce qui pourrait leur permettre de contrôler votre machine.

Comme les navigateurs Web sont mis à jour dès qu'ils connaissent le bogue - et réussissent à le corriger - (parfois ils le découvrent en premier, parfois il a été abusé pendant longtemps avant cela), si vous le tenez à jour, c'est beaucoup plus difficile de vous compromettre, car un attaquant aurait besoin d'un bogue sans correctif (appelé 0-day). Cependant, utiliser une ancienne version signifie que vous êtes également vulnérable à tous les problèmes résolus après cette version, pour lesquels l'exploit dans la plupart des cas n'a même pas été écrit avant d'être résolu! (cf. Rapport Microsoft Security Intelligence 16, page 24 et MSIR 15) Les systèmes non mis à jour sont beaucoup plus susceptibles d'être infectés.

Mozilla Firefox publie une nouvelle version toutes les six semaines (et chaque fois qu'un problème de sécurité en oblige une nouvelle). Si vous souhaitez maintenir le navigateur à jour mais que vous n'êtes pas intéressé par des modifications moins importantes (telles que des modifications de la barre d'outils), vous pouvez exécuter une version de support étendu, qui est prise en charge pendant 54 semaines (bien que vous puissiez toujours obtenir une nouvelle version avec des correctifs mineurs toutes les six semaines, ainsi que des mises à jour de sécurité si nécessaire).

De nombreux autres fournisseurs proposent également des versions LTS (Long Term Support) de leurs programmes, auxquelles ils appliquent des correctifs de sécurité (uniquement ), même s'il ne s'agit pas du dernier . Par exemple, Debian prend en charge (c'est-à-dire corrige les anciennes versions qu'ils livrent) leurs paquets - bien qu'ils soient un distributeur - pendant ~ 3 ans, et Red Hat Enterprise Linux fournit un support pendant 13 ans.

Cependant, bien que vous avez formulé la question de manière générique, vous vous demandiez probablement cependant pourquoi Firefox a dû mettre à jour Firefox 32.0.1 (12 septembre 2014) quelques jours seulement après l'installation de Firefox 32.0 (2 septembre 2014). Ce n'est pas constamment , même si la dernière mise à jour date de juillet.

L'explication est -comme toujours- dans les notes de version https://www.mozilla.org/en-US/firefox/32.0.1/releasenotes/ où nous pouvons cela bien que Firefox 32 Correction de certains problèmes de sécurité, Firefox 32.0.1 n'était pas dû à la découverte de nouvelles vulnérabilités, mais parce que Firefox 32 «échouait» sur les ordinateurs avec plusieurs cartes graphiques (l'un de ces problèmes majeurs non liés à la sécurité).

32.0.1 - Problèmes de stabilité pour les ordinateurs avec plusieurs cartes graphiques

32.0.1 - L'icône de contenu mixte peut être incorrectement affichée au lieu de l'icône de verrouillage pour les sites SSL

32.0.1 - WebRTC: setRemoteDescription () échoue silencieusement si aucun rappel de réussite n'est spécifié

Donc, en tant qu'exception au conseil général, la mise à jour vers Firefox 32.0.1 si vous exécutez Firefox 32.0 n'est pas un problème urgent, sauf si vous utilisez plusieurs cartes graphiques (ou en utilisant Android). Mais lorsque 32.0.2 apparaît, la mise à jour peut être. Vous devez à chaque fois faire très attention à ce qui a exactement changé si vous voulez continuer à exécuter des versions non récentes de votre navigateur (et en toute sécurité).

Si vous avez affaire à un seul ordinateur, la mise à jour prend probablement moins de temps que de le découvrir ☺ (et nous devrions être reconnaissants à la dernière génération de mises à jour automatiques de les rendre si transparents)

Chris Arnold
2014-09-17 23:37:44 UTC
view on stackexchange narkive permalink

Voici un lien vers les notes de mise à jour de sécurité de Firefox:

Avis de sécurité

Vous pouvez voir par le nombre de correctifs, et en particulier ceux marqués " critique, "qu'en ne mettant pas à jour, vous entraîneriez un risque important.

Saint Crusty
2014-09-18 19:32:43 UTC
view on stackexchange narkive permalink

Réponse la plus courte, lisez le journal des modifications de Firefox pour une version et voyez pourquoi. Vous pouvez le trouver @

https://www.mozilla.org/en-US/firefox/releases/

Pour toutes les versions spécifiques. Cliquez simplement sur l'un des numéros de version.

schroeder
2014-09-17 23:06:04 UTC
view on stackexchange narkive permalink

Tous les logiciels ont des bogues. Les mises à jour aident à résoudre ces bogues.

En ce qui concerne les navigateurs, les bogues peuvent signifier que des logiciels malveillants peuvent infecter votre navigateur, voire votre machine. Pire cas? Un attaquant peut connaître vos coordonnées bancaires et vider votre compte.

Pouvez-vous donner des exemples de ce qui pourrait arriver exactement? Quelle est la fréquence de ces failles de sécurité?
Lorsque vous visitez une page Web, elle héberge des logiciels malveillants quelque part sur la page. Votre navigateur télécharge le contenu et le traite, mais il exploite un bogue dans votre navigateur. En arrière-plan, il installe un keylogger. Désormais, tout ce que vous tapez est envoyé à un attaquant. Ces trous sont courants. Raz a une belle liste.
oldnoob
2014-09-18 01:07:56 UTC
view on stackexchange narkive permalink

C'est à cause d'une catégorie de vulnérabilités appelées vulnérabilités côté client. Au fil du temps, les serveurs sont devenus plus sécurisés, donc les cyber-escrocs, au lieu de se concentrer sur les serveurs ces jours-ci, se concentrent sur les bogues de sécurité côté client. En ce qui concerne les navigateurs, ces bogues sont principalement utilisés après des bogues gratuits (en particulier dans Internet Explorer qui a changé récemment grâce à l'incorporation de plus de protections contre ces bogues).

Il existe des logiciels appelés "kits d'exploit". (par exemple, Blackhole, Sweet Orange et Stuxnet) qui ont plusieurs exploits côté client prêts à être déclenchés hébergés sur un site Web. Une fois que vous visitez le site Web avec votre navigateur non mis à jour (ou Java: D), ils ont accès à toutes vos informations d'identification.

Pouvez-vous prouver que l'exploitation des vulnérabilités côté client est une conséquence des améliorations de la sécurité des serveurs? Posséder des clients est rentable, que vous puissiez ou non posséder des serveurs, car ils vous procurent différents types de données et de capacités en tant qu'attaquant. Par exemple, les solveurs CAPTCHA, les bots IP dynamiques pour DDoS, les profils humains pour la publicité ciblée, etc.
user55766
2014-09-19 02:04:18 UTC
view on stackexchange narkive permalink

Lorsque vous visitez une page Web, elle héberge des logiciels malveillants quelque part sur la page. Votre navigateur télécharge le contenu et le traite, exploite du code dans votre navigateur, lui donnant accès à votre ordinateur. Il installe un serveur de messagerie et commence à envoyer du spam - des milliers de messages toutes les quelques minutes.

N'avez-vous pas remarqué que votre système a ralenti et / ou que votre disque dur fonctionne dur?

Vous visitez une page Web, elle héberge des logiciels malveillants quelque part sur la page. Votre navigateur télécharge le contenu et le traite, et cette fois, il récupère tous les contacts de votre carnet d'adresses, en recherchant également les noms d'utilisateur (c'est-à-dire votre compte de messagerie nom d'utilisateur et plus) et le mot 'Mot de passe' dans tous vos messages. S'il en trouve un, il le renvoie «à la maison». Maintenant, quelqu'un peut exécuter l'un des programmes largement disponibles qui essaie le nom d'utilisateur et pw trouvés sur des dizaines de sites.

Vous visitez une page Web, elle héberge des logiciels malveillants quelque part sur la page. Votre navigateur télécharge le contenu et le traite, et cette fois, il recherche les informations de carte de crédit et bancaires ...



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...