web-dev-qa-db-ja.com

最新のブラウザは古いOSで安全ですか?

Windows 7のサポートは2020年1月14日に終了します 。その日以降も更新されたブラウザーを使用していると仮定すると、私がまだ安全であるのは本当ですか? OSベースのセキュリティホールに「パッチ」を適用できますか?

軽微な質問:通常、ブラウザは廃止されたOSのサポートをどのくらい停止しますか?これに何か番号はありますか?


関連: ブラウザのセキュリティを優先する必要があるのはなぜですか?
FYI: 攻撃面-ウィキペディア

web-browserappsecoperating-systemsattack-vectorwindows-7
66
Ooker

最新のブラウザであっても、古いOSを使用しないでください。

その日以降も更新されたブラウザーを使用していると仮定すると、私がまだ安全であるのは本当ですか?

いいえ、ブラウザを更新するだけでは、ブラウザベースのセキュリティホールを回避することはできません。これにはいくつかの理由があります。主に、ブラウザは完全に自己完結型ではありません。これは、システムメモリアロケータなどのオペレーティングシステムライブラリを利用します。このアロケータは、メモリ破損に関連するさまざまなセキュリティ問題を軽減するように設計されています。アロケーターが最新の状態に保たれていない場合、ブラウザーがどれだけ最新の状態であっても、ブラウザーに対してメモリー活用のバグが実行されやすくなる可能性があります。

もう1つの理由は、ブラウザのセキュリティがOSのサンドボックス機能に依存していることが多いためです。強力なブラウザーエクスプロイトは、いわゆるサンドボックスエスケープと組み合わせる必要があります。エスケープがどれだけ簡単かは、ブラウザの安全性と同様に、オペレーティングシステムの安全性にも依存します。古くなったオペレーティングシステムを使用することにより、ブラウザは古くて脆弱なセキュリティ機能によって保護されています。

OSベースのセキュリティホールに「パッチ」を適用できますか?

いいえ。オペレーティングシステムの脆弱性にパッチを適用するには、ブラウザにはない特権の昇格が必要です。たとえそうであっても、ブラウザはシステム設定やシステムファイルを変更するようには設計されていません。 OSのセキュリティの脆弱性にパッチを当てることができる拡張機能やWebページはありません。

軽微な質問:通常、ブラウザは廃止されたOSのサポートをどのくらい停止しますか?

ブラウザベンダーは通常、特定のオペレーティングシステムの公式サポートを終了する時期を公開しています。それ以降は、古いシステムで動作しないブラウザの変更はバグと見なされなくなり、修正されない可能性があります。ただし、プログラムは通常、古いシステムで非常に長い間runningを継続します。古いバージョンにはない新しいシステムAPIに依存し始めたときにのみ、動作を停止します。これは比較的まれです。ブラウザーは、非常に安全ではありませんが、ベンダーからの公式サポートがなければ、古いオペレーティングシステムで何年も実行できるはずです。ほとんどの場合、新しいAPIに依存し始めると、ブラウザの機能(特にセキュリティ関連の機能)が1つずつ壊れ始め、最終的にはまったく起動しなくなります。

79
forest

Windows 7よりもWindows 10のような新しいオペレーティングシステムの利点の1つは、オペレーティングシステムに組み込まれたより高度な機能があり、クラス全体の脆弱性から保護できることです。

Windows 7はまだサポートされていますが、実際には、Windows 7ではなくWindows 10でWebブラウザーの方が安全な例があります。たとえば このGoogleセキュリティの脆弱性の開示 を参照してください。

Chromeには脆弱性がありましたが、Googleの研究者は、そのバージョンのWindowsに追加の脆弱性があるため、Windows 7でのみ悪用可能であると信じています。 Windows 10の追加の保護機能は、ブラウザーの脆弱性にもかかわらずシステムを保護しました。

ブラウザがレガシーオペレーティングシステムをサポートする期間についての質問に答えるには、FirefoxなどのサポートされているWindows XPおよびWindows Vistaは、これらのオペレーティングシステムのサポート終了日をかなり過ぎた2018年6月までです。 (それぞれ2014年と2017年) その発表 、Firefoxのメンテナンスを困難にする既知のエクスプロイトがオペレーティングシステムにあったため、サポートが終了したと主張しています。

ChromeはWindowsをサポートXPおよび2016年4月にリリースされたバージョン50までのVista(Microsoftがサポートする前にVistaのサポートを停止しました!)

13
kepstin

表面的な質問ですね。

ブラウザを介したOSに対する攻撃の影響範囲は、ブラウザによって大きく異なります。 Internet Explorerでは、表面積は広大です。一方、Firefoxは、ほとんどすべて独自のデコーダーを使用して、表面積を数個に粉砕します。いずれの場合でも、TCPスタック、DNS、およびフォントレンダリングエンジンは攻撃対象のままです。攻撃者が実際に機能する脆弱性を選択しないと想定することは賢明ではありません。GDI+リモートが表示されます。時計仕掛けのように、数ヶ月ごとにコード実行の脆弱性。

やめろ。少なくともWindowsではできません。 Linuxでは、シェルコードを機能させないエキゾチックなことを行うことができ、少なくとも攻撃者はあなたを明確にターゲットにする必要があります。しかし、もしあなたがそれをしていなければ、Linuxでもそれをしないでください。

6
Joshua

答え:

ブラウザは、セキュリティ上の欠陥の大きな領域であり、バグと弱点の一般的な原因です。 「最新」と「安全」はまったく同じではありませんが、堅牢なブラウザを使用することで露出が大幅に低下し、一般に新しい(少なくとも)ことは「使用中」のエクスプロイトが少なくなることを意味しますそれはあなたに影響を与えます。したがって、これは役立ちます。それがシステムへの唯一の方法であり、それ自体が動作する場合、OSは、ユーザーが公開されないようにするために正常な方法でのみ動作する必要があります(すべての可能性のあるOSが正常である方法で)。

ただし

  • セキュリティ問題の原因はブラウザだけではありません。それ自体以外からユーザーを保護するためにできることは何もありません。また、セキュリティが侵害されたシステムでは、ブラウザも同様です。

  • OSレベルの保護は、最初にバグを持たないほど良くなく、バグの損傷を制限します。

Hence

  • マシンを何に使用し、どのサービスを実行しているのかなどは、他のリスクに大きく影響するため、質問への回答にもなります。開いてリスニングしている他の危険なターゲットがたくさんある場合は、ブラウザーがどれほど優れているかはまったく関係ありません。

アドバイス:

(これらの部分で)受け入れられている知恵と人々が与えるために並ぶアドバイスは次のとおりです。

セキュリティが高いほど優れ、新しいほどセキュリティが向上します。」は、この場合は「」に変換されます。 OSも更新してください "。

私の考えではどちらも妥当であり、更新を審議することはしません。 しかし

  • それは特効薬ではありません。誰も100%安全ではありません。
  • 利便性のような他のもの(潜在的に見過ごされがちです)とのトレードオフが潜在的にあります。
  • 更新することでWindows-10を使用することにつながる可能性は常にありますが、誰もそれを望んでいません...
2
ANone