瑞士联邦科技学院(Swiss Federal Institute of Technology)、互联网巨头Google和IBM互联网安全机构联手开展的一项调查显示,只有59.1%的网民使用最新版本的、安装了全部补丁的网页浏览器,而其余的近四成网民则处于危险之中,因为目前利用浏览器漏洞实施的黑客攻击越来越多.网页浏览器是安全环节中的一个弱点,浏览器中存在的漏洞 使得黑客可以轻松地控制用户电脑,进而实施恶意行为,如盗窃用户个人数据或将用户PC变为一台垃圾邮件发送机.
依靠Google提供的搜索和网络服务器数据,研究人员们查看了用户所使用的火狐(Firefox)、Opera和Safari等浏览器的版本.而关于微软的IE浏览器,网络服务器上的数据只能显示用户使用的大概版本,如IE6还是 IE7,而无法提供具体信息.因此,研究人员使用了一种名为Personal Software Inspector(个人软件探测器)的工具,用于检测用户所使用的IE版本.
开展这项调查的研究人员们发现,尽管软件商提供了针对安全问题的补丁,但用户更新这些补丁需要几天、几周甚至几个月的时间.在这段时间内,用户的电脑处于危险之中.不过,参与此次调查的瑞士联邦科技学院博士生斯泰凡·弗雷(Stefan Frei)表示,这并非完全是用户的问题,因为网页浏览器厂商提供的补丁安装过于麻烦.他表示,网页浏览器仍是一门较为年轻的技术,整个行业都尚未能够推出设计优良的产品.
调查显示,火狐浏览器的用户更新率最高,高达83.3%的火狐用户使用了更新到最新的浏览器.有65.3%的苹果Safari浏览器用户使用最新版;有56.1%的Opera浏览器用户使用了最新版;而只有47.6%的微软IE浏览器用户使用了最新版.
Mozilla公司推出的火狐开源浏览器更新率之所以最高,是因为该浏览器有自动更新功能.该功能可以提醒用户有新补丁可下载,并且用户只需单击鼠标即可进行更新.该调查显示,在Mozilla推出更新补丁后三天之内,大多数用户即可完成更新.因此,弗雷建议所有的浏览器厂商均在其产品中加入自动更新功能,因为现有的更新过程过于麻烦且缓慢.
据弗雷介绍,现在,如果Opera用户得知有新版本,那么他们得登录Opera的网站并且像首次安装该浏览器一样安装更新补丁程序.Safari使用的外部更新工具只能间隔一段时间才能进行更新.微软的IE浏览器更新要等到每个月的第二个周二才能发布.这个时间差就为黑客实施攻击提供了可乘之机.
弗雷认为,浏览器更新不及时的责任完全在软件厂商,因为大多数情况下用户并不知道自己的浏览器需要更新.他呼吁所有的软件厂商都能借鉴食品工业的做法,即在浏览器顶部加注一个类似于“产品有效期”的标识,以便用户获悉他们的浏览器状态.例如,在地址栏上方可以出现这样一行字:“有效期145天,需要三个补丁”.弗雷说:“这是一个非技术建议.如果用户都不知道自己的浏览器需要更新,那么他们怎么可能使用到最新版本的浏览器?我们认为,这就像在高速公路上实施限速一样.”
弗雷表示,类似于Google这样的搜索引擎公司也应当在搜索结果中提出警告,因为在搜索过程中,用户使用的浏览器版本可以传回到其服务器上.另外,弗雷表示,安全公司也可以利用其产品对浏览器版本进行扫描,而这项服务是安全公司已经向部分企业用户软件提供了的.
不过,浏览器的更新还与另外一个问题息息相关,即浏览器插件,例如Adobe的Flash和苹果的QuickTime多媒体程序.弗雷表示,平均来讲,每位用户都会被安装6到10个插件,这些插件常常由不同的公司出品,因此其更新计划和时间也大相径庭.弗雷说:“浏览器就像是面包,即便面包是好的,但如果里面的火腿坏了,那么你还是会遇到问题.”弗雷表示,即使插件中存在一个小小的软件漏洞,这也可以置用户的PC于危险之中.
