Statystyki te dobitnie pokazują, że szybkie łatanie przeglądarek przez ich producentów (Mozilla, Microsoft, Google i Opera Software od lat licytują się co do tego, kto lepiej sobie z tym radzi) nie na wiele się zdaje, bo użytkownicy tych aplikacji i tak nie instalują na czas poprawek. Podkreślmy: 80% wykorzystywanych w Sieci przeglądarek internetowych jest obecnie podatne na jakiś typ ataku - za sprawą błędów w nich samych lub wtyczkach do nich (np. Flash Playerze). W większości przypadków te błędy są już dawno załatane przez producentów (tyle, że użytkownicy nie aktualizują aplikacji).

Szokujące dane

"Szczerze mówiąc, jestem zszokowany tymi danymi - byłem przekonany, że odsetek podatnych na atak przeglądarek będzie zdecydowanie niższy" - mówił podczas konferencji RSA Wolfgang Kandek, szef działu technicznego firmy Qualys.

Dane te zgromadzone zostały przez aplikację BrowserCheck, która automatycznie sprawdza stan aktualizacji wszystkich popularnych przeglądarek internetowych (dla Windows, Mac OS X oraz Linuksa), a także 18 najpopularniejszych wtyczek do nich (m.in. Adobe Flash oraz Reader, Oracle Java, a także MS Silverlight i Windows Media Player).

Z informacji przedstawionych na RSA Conference wynika, że w ok. 30% przypadków nie mamy do czynienia z jakimś przypadkowym zapomnieniem o jednej czy dwóch aktualizacjach. Kandek zwraca uwagę, że mniej więcej co trzeci użytkownik od dawna nie aktualizował wtyczek, a co 10 użytkownik Windows nigdy nie instalował poprawek dla tego systemu.

Feralne wtyczki

Najrzadziej instalowane są właśnie wtyczki do przeglądarek - gdyby nie brać ich pod uwagę, na atak podatnych byłoby tylko ok. 25% przeglądarek (wedle danych ze stycznia 2011 r.). "To dość dobra wiadomość - wygląda na to, że użytkownicy mają świadomość, że przeglądarki należy aktualizować i starają się to robić" - komentuje Wolfgang Kandek.

Warto jednak dodać, że w większości przypadkach jest to zasługa nie tyle użytkowników, co producentów przeglądarek - Internet Explorer, Firefox i Chrome aktualizują się w zasadzie same (program informuje użytkownika o aktualizacji i automatycznie ją instaluje - rola człowieka sprowadza się do wyrażenia zgody).

Wedle danych BrowserCheck, najrzadziej łatana jest Java (na 40% sprawdzonych komputerów zainstalowana była stara, dziurawa wersja tego oprogramowania). Na drugim miejscu uplasował się Adobe Reader (32% kopii wymagało aktualizacji), zaś na trzecim - Apple QuickTime (25%). "Jestem pewien, że znaczna część użytkowników nawet nie wie, że mają zainstalowaną w komputerze jakąś Javę. Autorzy złośliwego oprogramowania doskonale zdają sobie z tego sprawę i chętnie wykorzystują sytuację" - tłumaczy Kandek.

Aktualizacje z jednego źródła

Zdaniem specjalisty, główną przyczyną tak złej sytuacji jest to, że użytkownicy muszą korzystać z wielu różnych niezależnych mechanizmów aktualizacyjnych. "Jeden, zunifikowany mechanizm instalowania poprawek rozwiązałby problem. Obecnie cały ten proces jest zdecydowanie zbyt skomplikowany dla większości użytkowników" - skomentował Kandek.

Warto dodać, że przedstawiciel Qualys od dawna postuluje, by Microsoft włączył do swojego systemu aktualizacji poprawki dla najpopularniejszych wtyczek dostarczanych przez firmy zewnętrzne. Takie rozwiązanie stosuje obecnie Apple w Mac OS X - aczkolwiek w wydaniu tej firmy też nie funkcjonuje to idealnie. Apple słynie z tego, że niektóre poprawki dla oprogramowania firm trzecich wchodzącego w skład Mac OS X dostarcza użytkownikom nawet kilka miesięcy po tym, jak producent danej aplikacji załata dany błąd.

HTML5 lekiem na całe zło?

Być może jednak już wkrótce problem dziurawych wtyczek rozwiąże się sam - wraz z popularyzowaniem się najnowszych wersji Firefoksa, Chrome'a czy IE, które w pełni obsługują standard HTML5. Przeglądarki te nie potrzebują do obsługi treści multimedialnych żadnych wtyczek - robią to natywnie. Dzięki temu wtyczki stają się zbędne i użytkownik nie musi pamiętać o aktualizowaniu ich. Wystarczy, że będzie na czas instalował poprawki dla przeglądarki.