Ein Team von Mitarbeitern der ETH Zürich, Google Switzerland und IBM Internet Security Systems warnt in seinem Aufsatz vor Attacken gegen unsichere Browser-Versionen. Nach den Befunden der Studie sind die betroffenen Versionen weit verbreitet.
Das Autorenteam Stefan Frei, Thomas Dübenhofer, Gunter Ollmann und Martin May hat die Webserver-Logs von Googles Websuche und -anwendungen ausgewertet. Diese Protokolle enthalten unter anderem Versionsinformationen, welche die Browser in ihren HTTP-Anfragen mitschicken. Das Feld “User-Agent” enthält bei Firefox, Safari und Opera die Major- und Minor-Versionsnummer, bei Microsofts Internet Explorer (IE) nur die Major-Version. Internet Explorer und Firefox dominieren demnach den Browser-Markt mit rund 78 Prozent beziehungsweise rund 16 Prozent.
Nach den Analysen der Autoren verwendeten von den Firefox-Usern höchtens 83 Prozent, von den IE-Benutzern maximal 48 Prozent die jüngste, mit Sicherheits-Updates versehene Version des Programms. Überraschend sei, so die Studie, dass somit rund 17 Prozent der Firefox-Anwender mit veralteten und potentiell unsicheren Versionen surften, obwohl der Browser einen eigenen automatischen Update-Mechanismus mitbringt. Insgesamt seien rund 45 Prozent der Surfer durch die Verwendung von unsicheren Browser-Versionen gefährdet.
Der Aufsatz mit dem Titel “Examination of vulnerable online Web browser populations and the ‘insecurity iceberg'” betont, diese Zahlen seien vermutlich nur “die Spitze des Eisbergs”: Zu den als unsicher erfassten Browserversionen müsse man noch zusätzliche Risiken durch Schächen in Browser-Plugins addieren.
Die Studie bezeichnet den Angriff über Schwachstellen des Browsers und seiner Plugins als mittlerweile typische Attacke auf Client-Computer. Beliebte Web-2.0-Websites, auf denen sich Inhalte hinterlegen lassen, dienten den Tätern für Angriffe über I-Frames und hinterlegten Javascript-Code.
Als Gegenmittel empfehlen die Autoren automatische Update-Funktionen sowie Blacklisting gefährlicher Websites, beides Techniken, wie sie in den jüngsten Firefox-Versioen bereits umgesetzt sind. Daneben schlagen sie auch neuartige Maßnahmen vor. Dazu gehört ein “Verfallsdatum” für Browser-Software, nach dem Vorbild der Lebensmittelindustrie. Ein solcher “verfallener” Browser würde dann beispielsweise beim Besuch einer Online-Banking-Website dem Anwender einen Warnhinweis zeigen. Browser-Plugins, die vom Auto-Update des Programms nicht erfasst werden, müssten ebenfalls aktuell gehalten werden. Zudem sollte man sie ausschließlich aus vertrauenswürdigen Quellen installieren.
Der Aufsatz ist online in HTML- und PDF-Versionen verfügbar.
