ブラウザを更新しないのはなぜセキュリティ上の問題なのですか?
それは一般的にブラウザを更新しないというセキュリティ上の問題です。 Firefoxは常にブラウザを更新するように要求しますが、更新しないとどれほど危険ですか?
この質問の一部として、その問題が正確に何であるかを知りたいのですが。ブラウザを更新しないことのリスクは何ですか?正確には何が起こりますか?
ソフトウェアには常にセキュリティの脆弱性が見られるためです。これらの脆弱性は、公開されていることもあれば、公開されていないこともあります。どちらの方法でも、開発者はそれらを見つけたり見つけたりすると、パッチを当てます。古いバージョンのブラウザーを実行すると、コンピューターに感染しようとする悪意のあるWebサイトに対して脆弱になります。
以下は、最も人気のある3つのブラウザの比較的最近のバージョンで修正された脆弱性を一覧表示するWebページへのリンクです。
すべてのブラウザにバグがあり、それらすべてに脆弱性があります。ただし、既知の脆弱性を常に把握することで、攻撃者がシステムにアクセスするのを防ぐことができます。
編集
ブラウザのセキュリティ更新の最新のブログへのこれらの追加リンクを提供してくれたkirbに感謝します
私は本当に他の答えを繰り返していますが、比喩を使ってそれを説明してみましょう。コンピュータプログラムは、与えられた情報に基づいて、コンピュータがどのように動作する必要があるかについての長い説明です。ブラウザプログラムは、Webサーバープログラムからいくつかの指示を受け、使用するWebページを描画します。次に、アクセスしたい次のページなどをWebサーバーに通知します。
私たちの開発者はプログラムを書くときに多くの間違いをします。いくつかのEdgeケースを忘れることがあります。その場合、プログラムが不規則に動作し、場合によっては損傷を引き起こします。場合によっては、特定の指示によって、たとえば誰かがブラウザの設定を変更したり、承認なしにダウンロードを実行したりするなど、私たちが行う検証を回避することができます。要するに、間違いは考えられるあらゆる方法で利用されます。
他の場合では、プログラムが非常に不安定に動作するため、独自の命令リストの上にゴミを書き始めます(子供が買い物リストの上に描画するように)。攻撃者は、これらのケース( exploits と呼びます)を見つけ、ブラウザに元の命令ではなく、非常に具体的なもの( payload )を書くように誘導することを非常に得意としていますごみ。
これが発生した場合、開発者は遅かれ早かれ(多くの場合数か月/数年後)にそれを理解し、悪用を可能にするあいまいさやエラーを取り除くことによってプログラムのソースコードを改善します。次に、脆弱ではなくなった新しいバージョンをリリースします。
一部のソフトウェアの古いバージョンを使用する場合、それは既知の十分に文書化されたエクスプロイトに対して脆弱であることを意味します。ソフトウェアを悪用し、コンピューターとデータに損傷を与えます。特に、Webブラウザは、未知のサードパーティからの情報に常にさらされており、悪意のあるものである可能性があります。
Webサーバーは、通過するコンピューターにマルウェアをインストールしてお金を稼ごうとするマフィアが所有できます(オンラインバンキングを追跡し、財務情報やパスワードが含まれているように見えるファイルを盗み、広告を配信するためにオンラインで追跡し、CAPTCHAを解決します)ボットにスパムを送信したり、コンピュータのリソースを使用してスパムを送信したりします)。
他の攻撃者は正規のサーバーに侵入してマルウェアを追加することもあるので、YouTubeやFacebookなどの完全に評判の良いWebサイトにアクセスしてもマルウェアにつながる可能性があります。これに対する最も優れた防御策は、ブラウザーを更新することにより、ブラウザーが悪用される可能性のある既知の方法に対して脆弱にならないようにすることです。
まあ、何かを更新/パッチすることの全体のポイントは、既知の脆弱性を修正することです。実行しているFirefoxのバージョンで見つかったバグ/脆弱性は、悪用される可能性があります。ブラウザーを更新すると、ブラウザーの動作が変更され、脆弱性が悪用されなくなります。それは本当にそれと同じくらい簡単です。
更新も新しい脆弱性をもたらす可能性がありますが、新しい脆弱性についての新しいバージョンでの知識は、しばらくの間公開されずに発見され、開発者が新しいパッチをリリースしてサイクルが繰り返されるまで、低い可能性があります。
多くの場合、更新にはパフォーマンスの向上も含まれているため、より高速な操作、洗練されたデザイン、またはその他のさまざまなユーザーエクスペリエンスの強化が行われています。
プログラムの新しいバージョンを作成する主な理由は2つあります(この場合はブラウザ)。
- 新しい機能を追加する(例:ブラウザーでビデオを表示する)。
- 次のような問題を修正します。
- 軽微な問題(cmd-Lが使用可能なウィンドウがないときに新しいウィンドウを開かないなど)
- 大きな問題(たとえば、悪意のあるWebページが他の要求からデータを読み取ることができる[ 1 ])
いくつかの変更は分類が少し難しい( パフォーマンスの向上 はバグ修正か機能か?)
大きな問題のほとんどはセキュリティ問題解決 ある種の脆弱性 です。最新のブラウザーはOSと同じくらい複雑で、エラーが発生しないようにすることは非常に困難です。
セキュリティを向上させる新機能 脆弱性を含まない(ただし、採用するようにしてください)もあります。
一部のプログラム(たとえば、はがき作成者)では、最新バージョンを使用することはそれほど重要ではありません。これは主に、信頼できるファイル(作成したファイル)でのみ使用するため、感染するリスクが非常に低いためです。
一方、多くの信頼できないサイトにアクセスするために、Webブラウザーが日常的に使用されています。そして、信頼されていないということは、本当にそれを意味します。インターネットのヘビーユーザーである場合、数週間侵害される可能性のあるWebサイトにアクセスしないのは非常に奇妙です。あなたが読んだオンライン新聞は?その広告ネットワーク内で何ができるかを推測します。 GoogleでXを検索したときその検索結果はエクスプロイトなどである可能性があります。
多くの悪者があなたに(主にブラウザまたはそのプラグインを介して)感染しようとしています。単一の脆弱性を試みることもあれば、可能な限り最大限に試みること(エクスプロイトキット)、マシンの制御を可能にするあらゆることを試みることもあります。
Webブラウザーは、バグを知ってすぐに更新され、修正に成功します(最初に発見することもあれば、その前に長期間悪用されることもあります)。攻撃者が修正なしのバグを必要とするため(0日間と呼ばれます)、妥協します。ただし、古いバージョンを使用すると、そのバージョン以降に修正されたすべての問題に対しても脆弱になります。この問題については、ほとんどの場合、エクスプロイトは解決前に書かれていませんでした。 (cf. Microsoft Security Intelligence Report 16、24ページ および MSIR 15 )更新されていないシステムは、感染する可能性が何倍も高くなります。
Mozilla Firefoxは6週間ごとに新しいバージョンをリリースします(さらに、セキュリティ上の問題により新しいバージョンが強制されるたびに)。ブラウザーを最新の状態に保ちたいが、それほど重要ではない変更(ツールバーの変更など)に関心がない場合は、 Extended Support Release を実行できます。これは、54週間サポートされています(ただし、 6週間ごとにマイナーな修正を加えた新しいバージョンに加えて、必要に応じてセキュリティアップデートを提供します)。
他の多くのベンダーも、プログラムのLTS(長期サポート)バージョンを提供しており、latestではなくても、セキュリティ修正(のみ)を適用しています。たとえば、Debianは(ディストリビューターであるにもかかわらず)パッケージを3年までサポート(つまり、出荷している古いバージョンを修正)し、Red Hat Enterprise Linuxは13年間サポートを提供します。
しかし、一般的な方法で質問を述べましたが、FirefoxがFirefox 32.0(2014年9月2日)をインストールした数日後にFirefox 32.0.1(2014年9月12日)に更新しなければならない理由を疑問に思っていたでしょう。これは常にではありませんが、最後の更新は7月でした。
説明は、いつものようにリリースノートで https://www.mozilla.org/en-US/firefox/32.0.1/releasenotes/ です。Firefox32でセキュリティが修正されていますが、 Firefox 32.0.1は新しい脆弱性の発見が原因ではなく、複数のグラフィックカードを搭載したコンピューターでFirefox 32が「失敗」したためです(セキュリティ以外の主要な問題の1つ)。
32.0.1-複数のグラフィックカードを搭載したコンピューターの安定性の問題
32.0.1-SSLサイトのロックアイコンの代わりに混合コンテンツアイコンが誤って表示されることがある
32.0.1-WebRTC:成功コールバックが指定されていない場合、setRemoteDescription()は警告なしに失敗します
したがって、一般的なアドバイスの例外として、Firefox 32.0を実行している場合にFirefox 32.0.1にアップデートすることは、複数のグラフィックカードを使用している(またはAndroidを使用している)場合を除いて、差し迫った問題ではありません。ただし、32.0.2が表示された場合は、更新される可能性があります。ブラウザーの最新でないバージョンを実行し続けたい場合(そして安全な場合)、正確に何が変更されたかについて、毎回非常に注意する必要があります。
単一のコンピューターを扱っている場合、更新はおそらくそれを理解するよりも時間がかかりませんand(そして、それらを非常にシームレスにするための最新世代の自動更新プログラムに感謝する必要があります)
Firefoxのセキュリティアップデートノートへのリンクは次のとおりです。
修正の数、特に「クリティカル」とマークされている修正の数から、更新しないと重大なリスクを招くことがわかります。
最短の答えは、リリースのFirefox変更ログを読んで、その理由を確認してください。あなたはそれを見つけることができます@
https://www.mozilla.org/en-US/firefox/releases/
すべての特定のリリース。リリース番号の1つをクリックするだけです。
すべてのソフトウェアにバグがあります。アップデートはそれらのバグを解決するのに役立ちます。
ブラウザに関して言えば、バグはマルウェアがブラウザやマシンにさえ感染する可能性があることを意味します。最悪の場合?攻撃者は銀行の詳細を知り、アカウントを空にすることができます。
これは、クライアント側の脆弱性と呼ばれる脆弱性のカテゴリが原因です。期間の経過とともに、サーバーはより安全になったため、サイバー詐欺師は、最近のサーバーに焦点を合わせるのではなく、クライアント側のセキュリティバグに焦点を合わせています。ブラウザに関して言えば、これらのバグは主に無料のバグの後に使用されます(特に、これらのバグに対するより多くの保護機能が組み込まれたため最近変更されたInternet Explorerで)。
「エクスプロイトキット」と呼ばれるソフトウェアがあります(たとえば、 Blackhole 、Sweet Orange、および Stuxnet )。ウェブサイト。更新されていないブラウザー(またはJava:D))でWebサイトにアクセスすると、すべての資格情報にアクセスできるようになります。
Webページにアクセスすると、ページのどこかにマルウェアがホストされます。ブラウザがコンテンツをダウンロードして処理し、ブラウザのコードを悪用して、コンピュータにアクセスできるようにします。メールサーバーをインストールし、スパムの送信を開始します-数分ごとに数千のメッセージ。
システムの速度が低下している、またはハードドライブが正常に動作していることに気付いていませんか?
Webページにアクセスすると、ページのどこかにマルウェアがホストされています。ブラウザはコンテンツをダウンロードして処理し、今度はアドレス帳のすべての連絡先を収集し、ユーザー名(つまり、メールアカウントsernameなど)と単語「パスワード」も検索しますすべてのメッセージ。 anyが見つかると、「ホーム」に送信します。これで、誰かが発見されたsernameおよびpwを数十のサイトで試すプログラムの1つを実行できます。
Webページにアクセスすると、ページのどこかにマルウェアがホストされています。ブラウザがコンテンツをダウンロードして処理し、今度はクレジットカードと銀行情報を探します...