最新的浏览器在过时的操作系统上是否安全?

信息安全 网页浏览器 应用安全 操作系统 攻击向量 Windows 7的
2021-08-11 08:54:58

Windows 7 支持将于 2020 年 1 月 14 日结束假设那天之后我仍然使用更新的浏览器,我是否仍然安全?它可以“修补”基于操作系统的安全漏洞吗?

小问题:通常,浏览器会停止支持废弃的操作系统多久?这个有编号吗?


相关:为什么要优先考虑浏览器安全?
仅供参考:攻击面 - 维基百科

4个回答

即使使用现代浏览器,也不要使用过时的操作系统。

假设那天之后我仍然使用更新的浏览器,我是否仍然安全?

不,您不能仅通过更新浏览器来避免基于浏览器的安全漏洞。这有几个原因。首先,浏览器并不是完全独立的。它利用操作系统库,例如系统内存分配器。此分配器旨在缓解各种与内存损坏相关的安全问题。如果分配器没有保持最新,内存利用漏洞可能更容易针对浏览器执行,无论浏览器是多么最新。

另一个原因是浏览器安全通常依赖于操作系统沙盒功能。强大的浏览器漏洞利用必须与所谓的沙盒逃逸相结合。逃逸的难易程度取决于操作系统的安全性以及浏览器的安全性。通过使用过时的操作系统,您的浏览器受到过时且可能易受攻击的安全功能的保护。

它可以“修补”基于操作系统的安全漏洞吗?

不可以。修补操作系统漏洞需要提升权限,而浏览器不具备此权限。即使这样做了,浏览器也不是为了修改系统设置或系统文件而设计的。您可以访问的任何扩展程序或网页都无法修补您操作系统中的安全漏洞。

小问题:通常,浏览器会停止支持废弃的操作系统多久?

浏览器供应商通常会发布他们何时停止正式支持特定操作系统。在那之后,对旧系统上中断的浏览器所做的更改将不再被视为错误并且可能无法修复。然而,程序通常会在旧系统上继续运行很长时间。只有当他们开始依赖旧版本中不存在的新系统 API 时,它们才会停止工作。这是比较少见的。浏览器应该能够在过时的操作系统上运行多年,尽管不是很安全,并且没有供应商的官方支持。最有可能的是,随着它开始依赖更新的 API,浏览器中的功能将开始一个一个地破坏(尤其是与安全相关的功能),直到它最终根本无法启动。

较新的操作系统(例如 Windows 10 优于 Windows 7)的一个好处是它们在操作系统中内置了更高级的功能,以防止所有类别的漏洞。

尽管 Windows 7 仍受支持,但实际上有一些 Web 浏览器在 Windows 10 上比 Windows 7 更安全的例子!例如,请参阅此 Google 安全漏洞披露

Chrome 中存在一个漏洞,但谷歌的研究人员认为,由于该版本的 Windows 中存在一个额外的漏洞,它只能在 Windows 7 中被利用。尽管存在浏览器漏洞,Windows 10 中的附加保护措施仍可保护系统。

要回答您关于浏览器将支持旧操作系统多久的问题:例如,Firefox 支持 Windows XP 和 Windows Vista,直到 2018 年 6 月,这远远晚于这些操作系统的支持日期(分别为 2014 年和 2017 年)。在他们的声明中,他们声称已经终止支持,因为操作系统存在已知的漏洞,这使得 Firefox 难以维护。

Chrome 支持 Windows XP 和 Vista,直到 2016 年 4 月发布的第 50 版(他们在微软之前就停止了对 Vista 的支持!)

哦,好,一个表面积问题。

通过浏览器对操作系统的攻击范围因浏览器而异。使用 Internet Explorer,表面积是巨大的。另一方面,Firefox 主要使用自己的解码器来处理所有内容,将表面积压缩到只有几块。无论如何,TCP 堆栈、DNS 和字体渲染引擎仍然是攻击目标。假设攻击者不会选择实际起作用的漏洞是不明智的,而且我每隔几个月就会看到 GDI+ 远程代码执行漏洞,几乎就像发条一样。

别做人。至少在 Windows 上没有。在 Linux 上,我们可以做一些奇特的事情,使 shellcode 无法工作,这至少会使攻击者不得不专门针对您。但是,如果您还没有这样做,也不要在 Linux 上这样做。

回答:

浏览器是安全漏洞的一大表面区域,也是错误和弱点的常见来源。虽然“最新”和“安全”根本不是一回事,但拥有强大的浏览器会显着降低您的曝光率,而且通常更新(至少)意味着“使用中”的漏洞会更少这会影响你。所以是的,这会有所帮助,如果它是进入您系统的唯一途径并且如果它自己运行,那么操作系统只需要以一种理智的方式运行以防止您被暴露(以所有可能的操作系统的方式理智)。

但是

  • 浏览器不是安全问题的唯一来源。除了它本身之外,它无法保护您免受其他任何事物的侵害,在受感染的系统中,浏览器也可能如此。

  • 操作系统级别的保护,虽然不如没有第一处的错误,并限制错误的损害。

因此

  • 您使用机器的目的以及它运行的服务等将显着影响其他风险,从而回答您的问题。如果有许多其他有风险的目标打开和侦听,那么您的浏览器有多好可能根本就不是很重要。

建议:

公认的智慧(在这些部分中)和人们排队给出的建议是:

越安全越好,越新越安全。 ”,在这种情况下翻译为“也更新你的操作系统”。

在我看来,两者都是合理的,我不会反对更新。但是

  • 这不是灵丹妙药:没有人是 100% 安全的。
  • 与便利性(经常被错误地忽略)等其他事物可能存在权衡。
  • 更新导致您使用 Windows-10 的可能性总是很小,而且没有人想要那样...
其它你可能感兴趣的问题
上一篇HTTPS Web 服务切换到 HTTP。会出什么问题? 下一篇了解 2048 位 SSL 和 256 位加密