不更新浏览器通常是一个安全问题吗?Firefox 不断提示我更新浏览器,但不更新有多危险?
作为这个问题的一部分,我想知道这个问题到底是什么。不更新浏览器有什么风险?究竟会发生什么?
为什么不更新浏览器会成为安全问题?
信息安全
网页浏览器
开发
更新
2021-08-13 19:39:46
4个回答
因为软件中一直存在安全漏洞。这些漏洞有时会公开披露,有时不会。无论哪种方式,当开发人员发现或发现它们时,他们都会修补它们。运行旧版本的浏览器会使您容易受到试图感染您计算机的恶意网站的攻击。
以下是列出已在 3 种最流行浏览器的相对较新版本中修复的漏洞的网页链接。
所有的浏览器都会有错误,所有的浏览器都会有漏洞。但掌握已知漏洞有助于防止攻击者访问您的系统。
编辑
感谢 kirb 提供这些指向浏览器安全更新最新博客的额外链接
我真的只是在重复其他答案,但让我们尝试用一个比喻来解释它。计算机程序是根据所提供的信息对计算机必须如何运行的详细描述。浏览器程序由 Web 服务器程序给出一些指令,并绘制一个网页供您使用。然后它告诉 Web 服务器它想访问哪个下一页,等等。
我们开发人员在编写程序时会犯很多错误。我们有时会忘记一些极端情况,在这种情况下,我们的程序会表现不正常,并可能造成损害。有时,特定说明允许绕过我们所做的验证,例如允许某人修改您浏览器中的设置或在未经您批准的情况下进行下载。简而言之,错误会以任何可以想象的方式被利用。
在其他情况下,程序的行为如此不规律,以至于它们开始在自己的指令列表上写垃圾(就像孩子会在你的购物清单上画画一样)。攻击者非常擅长发现这些情况(我们称之为漏洞利用),并引导浏览器在原始指令之上编写非常具体的内容(有效负载)而不是垃圾。
当这种情况发生时,开发人员迟早会弄清楚(通常是几个月/几年后),他们会通过消除允许利用的歧义或错误来改进程序的源代码。然后他们发布一个不再易受攻击的新版本。
当您使用某些软件的旧版本时,这意味着它容易受到已知和有据可查的漏洞利用,因此任何有一点智慧的人都可以利用您的软件并损坏您的计算机和数据。特别是,Web 浏览器不断暴露于来自未知第三方的可能是恶意的信息。
网络服务器可能归黑手党所有,他们希望通过在路过的任何计算机上安装恶意软件来赚钱(跟踪您的网上银行、窃取看起来包含财务信息或密码的文件、在线跟踪您以向您投放广告、让您解决验证码代表垃圾邮件机器人或使用您的计算机资源发送垃圾邮件)。
其他攻击者甚至闯入合法服务器,然后将恶意软件添加到其中,因此即使访问信誉良好的网站(如 YouTube 或 Facebook)也可能导致恶意软件。您对此的最佳防御是通过更新浏览器来避免受到众所周知的可以利用您的浏览器的方式的攻击。
那么更新/修补任何东西的全部目的是修复已知的漏洞。在您运行的 Firefox 版本中发现的任何错误/漏洞都可能被利用。更新浏览器将修改浏览器的工作方式并导致这些漏洞不再可利用。真的就这么简单。
更新也可以引入新的漏洞,但是作为一个新版本的新漏洞知识可能很低,直到它已经发布了一段时间并且人们发现了一些,然后开发人员发布了一个新补丁,并且循环重复了它自己。
更新通常还包括性能提升,因此更快的操作、更时尚的设计或各种其他用户体验增强。
创建程序的新版本有两个主要原因:(在这种情况下是浏览器)
- 添加新功能(例如,在浏览器中观看视频)。
- 要解决问题,可能是:
- 一个小问题(比如没有可用窗口时 cmd-L 不打开新窗口)
- 一个大问题(例如,恶意网页可以从其他请求中读取数据 [ 1 ])
有些更改更难分类(提高性能是错误修复还是功能?)
大多数大问题是解决某种漏洞的安全问题。现代浏览器和操作系统一样复杂,很难不出错。
还有一些不涉及漏洞的提高安全性的新功能(但您应该尝试采用)。
某些程序(例如明信片创建者)拥有最新版本并不是那么重要。主要是因为您仅将它与受信任的文件(您创建的文件)一起使用,因此通过它被感染的风险非常低。
另一方面,网络浏览器每天都用于访问许多不受信任的站点。我说的不受信任是真的。如果您是重度互联网用户,那么您不访问可能会在几周内受到威胁的网站是非常奇怪的。您阅读的在线报纸?猜猜在其广告网络中可以做什么。当您在 Google 上搜索 X 时?该搜索结果可能是漏洞利用等。
有许多邪恶的家伙试图感染您(主要是通过您的浏览器或其插件之一)。有时他们会尝试单个漏洞,而其他人则尽可能多地尝试(漏洞利用工具包),尝试任何可以让他们控制您的机器的方法。
由于网络浏览器在知道错误后立即更新 - 并成功修复它 - (有时他们首先发现它,有时它在此之前已被滥用很长时间),如果你保持它更新它会更难危害您,因为攻击者需要一个没有修复的错误(称为 0-day)。但是,使用旧版本意味着您也容易受到该版本之后修复的所有问题的影响,在大多数情况下,漏洞利用甚至在解决之前都没有编写!(参见Microsoft 安全情报报告第 16 页,第 24 页和MSIR 15)未更新的系统被感染的可能性要高很多倍。
Mozilla Firefox 每六周发布一个新版本(加上每当安全问题强制发布新版本时)。如果您想保持浏览器更新,但对不太重要的更改(例如工具栏更改)不感兴趣,您可以运行Extended Support Release,支持 54 周(尽管您仍然可以获得一个带有小修复的新版本)六周,加上需要的安全更新)。
许多其他供应商还提供其程序的 LTS(长期支持)版本,他们(仅)对其应用安全修复程序,即使它不是最新的。例如,Debian 支持(即修复他们正在发布的旧版本)他们的软件包 - 尽管他们是分销商 - 大约 3 年,而 Red Hat Enterprise Linux 提供 13 年的支持。
但是,尽管您以通用的方式表达了这个问题,但您可能想知道为什么 Firefox 必须在安装 Firefox 32.0(2014 年 9 月 2 日)几天后更新到 Firefox 32.0.1(2014 年 9 月 12 日)。尽管上次更新是在 7 月,但这并不是经常发生的。
解释是 - 一如既往 - 在发行说明https://www.mozilla.org/en-US/firefox/32.0.1/releasenotes/中我们可以,虽然 Firefox 32 修复了一些安全问题,但 Firefox 32.0.1 是不是因为发现了新漏洞,而是因为 Firefox 32 在具有多个显卡的计算机上“失败”(这些非安全性主要问题之一)。
32.0.1 - 具有多个显卡的计算机的稳定性问题
32.0.1 - 混合内容图标可能会错误地显示,而不是 SSL 站点的锁定图标
32.0.1 - WebRTC:如果未指定成功回调,setRemoteDescription() 会静默失败
因此,作为一般建议的例外,如果您正在运行 Firefox 32.0,则更新到 Firefox 32.0.1 并不是一个紧迫的问题,除非您使用多个显卡(或使用 Android)。但是当 32.0.2 出现时,可能会更新到它。如果您想继续运行非最新版本的浏览器(并且安全),每次都必须非常小心到底发生了什么变化。
如果您正在处理一台计算机,更新可能比弄清楚它花费更少的时间☺(我们应该感谢上一代自动更新程序使它们如此无缝)