web-dev-qa-db-de.com

Ist ein aktueller Browser auf einem veralteten Betriebssystem sicher?

Windows 7-Unterstützung endet am 14. Januar 202 . Angenommen, ich verwende nach diesem Tag immer noch einen aktualisierten Browser. Stimmt es, dass ich immer noch in Sicherheit bin? Kann es die betriebssystembasierten Sicherheitslücken "patchen"?

Kleinere Frage: Wie lange würden die Browser normalerweise die Unterstützung verlassener Betriebssysteme einstellen? Gibt es eine Nummer dazu?


Verwandte: Warum sollte die Browsersicherheit priorisiert werden?
FYI: Angriffsfläche - Wikipedia

66
Ooker

Verwenden Sie kein veraltetes Betriebssystem, auch nicht mit einem modernen Browser.

Angenommen, ich verwende nach diesem Tag immer noch einen aktualisierten Browser. Stimmt es, dass ich immer noch in Sicherheit bin?

Nein, Sie können browserbasierte Sicherheitslücken nicht vermeiden, indem Sie den Browser aktualisieren. Dafür gibt es einige Gründe. In erster Linie ist der Browser nicht vollständig in sich geschlossen. Es verwendet Betriebssystembibliotheken, beispielsweise den Systemspeicher-Allokator. Dieser Allokator wurde entwickelt, um verschiedene Sicherheitsprobleme im Zusammenhang mit Speicherbeschädigungen zu verringern. Wenn der Allokator nicht auf dem neuesten Stand gehalten wird, können Speicherausnutzungsfehler im Browser möglicherweise einfacher ausgeführt werden, unabhängig davon, wie aktuell der Browser ist.

Ein weiterer Grund ist, dass die Browsersicherheit häufig von Sandboxing-Funktionen des Betriebssystems abhängt. Ein leistungsfähiger Browser-Exploit muss mit einem sogenannten Sandbox-Escape kombiniert werden. Wie einfach dieses Escape ist, hängt davon ab, wie sicher das Betriebssystem ist und wie sicher der Browser ist . Durch die Verwendung eines veralteten Betriebssystems wird Ihr Browser durch veraltete und potenziell anfällige Sicherheitsfunktionen geschützt.

Kann es die betriebssystembasierten Sicherheitslücken "patchen"?

Das Patchen von Sicherheitslücken im Betriebssystem erfordert erhöhte Berechtigungen, über die ein Browser nicht verfügt. Selbst wenn dies der Fall ist, sind Browser nicht dafür ausgelegt, Systemeinstellungen oder Systemdateien zu ändern. Es gibt keine Erweiterung oder Webseite, auf die Sie zugreifen können, um Sicherheitslücken in Ihrem Betriebssystem zu beheben.

Kleinere Frage: Wie lange würden die Browser normalerweise die Unterstützung verlassener Betriebssysteme einstellen?

Browser-Anbieter veröffentlichen normalerweise, wenn sie die offizielle Unterstützung eines bestimmten Betriebssystems einstellen. Nach diesem Zeitpunkt gelten Änderungen am Browser, die auf älteren Systemen nicht mehr funktionieren, nicht mehr als Fehler und können möglicherweise nicht behoben werden. Programme werden jedoch in der Regel sehr lange auf älteren Systemen ausgeführt . Sie funktionieren erst dann nicht mehr, wenn sie sich auf neuere System-APIs verlassen, die in älteren Versionen nicht vorhanden sind. Dies ist relativ selten. Ein Browser sollte in der Lage sein, viele Jahre auf einem veralteten Betriebssystem zu laufen, wenn auch nicht sehr sicher und ohne offizielle Unterstützung des Anbieters. Da es sich immer mehr auf immer neuere APIs stützt, werden die Funktionen im Browser höchstwahrscheinlich nacheinander unterbrochen (insbesondere sicherheitsrelevante Funktionen), bis sie schließlich überhaupt nicht mehr gestartet werden.

79
forest

Ein Vorteil der neueren Betriebssysteme wie Windows 10 gegenüber Windows 7 besteht darin, dass im Betriebssystem erweiterte Funktionen zum Schutz vor ganzen Schwachstellenklassen integriert sind.

Es gab tatsächlich Beispiele dafür, dass Webbrowser unter Windows 10 sicherer sind als unter Windows 7, obwohl Windows 7 weiterhin unterstützt wird! Siehe zum Beispiel diese Offenlegung von Sicherheitslücken in Google .

Es gab eine Sicherheitsanfälligkeit in Chrome, aber die Forscher von Google glauben, dass diese aufgrund einer zusätzlichen Sicherheitsanfälligkeit in dieser Windows-Version nur in Windows 7 ausgenutzt werden konnte. Der zusätzliche Schutz in Windows 10 schützte das System trotz der Sicherheitslücke im Browser.

Um Ihre Frage zu beantworten, wie lange der Browser ältere Betriebssysteme unterstützt: Firefox unterstützt beispielsweise Windows XP und Windows Vista bis Juni 2018, lange nach dem Ende der Supportdaten für diese Betriebssysteme) (2014 bzw. 2017). In ihrer Ankündigung , sie behaupten, die Unterstützung beendet zu haben, weil die Betriebssysteme bekannte Exploits hatten, die es schwierig machten, Firefox zu warten.

Chrome unterstützte Windows XP und Vista bis Version 50, die im April 2016 herauskam (Vista wurde vor Microsoft nicht mehr unterstützt!)

13
kepstin

Oh goodie eine Oberflächenfrage.

Die Oberfläche von Angriffen gegen das Betriebssystem über den Browser variiert stark mit dem Browser. Mit Internet Explorer ist die Oberfläche groß. Auf der anderen Seite verwendet Firefox meistens seine eigenen Decoder für alles, wodurch die Oberfläche auf wenige Teile reduziert wird. In jedem Fall bleiben der TCP-Stack, DNS und die Font-Rendering-Engine Angriffsziele. Es ist nicht ratsam anzunehmen, dass der Angreifer keine Sicherheitsanfälligkeit auswählt, die tatsächlich funktioniert, und ich sehe GDI + remote Sicherheitslücken bei der Codeausführung alle paar Monate fast wie am Schnürchen.

Tu es nicht, Mann. Zumindest nicht unter Windows. Unter Linux können wir exotische Dinge tun, die dazu führen, dass Shellcode nicht funktioniert, sodass der Angreifer Sie zumindest gezielt angreifen muss. Aber wenn Sie es nicht getan haben, tun Sie es auch nicht unter Linux.

6
Joshua

Antwort :

Browser sind eine große Oberfläche für Sicherheitslücken und eine häufige Quelle für Fehler und Schwächen. Während "aktuell" und "sicher" überhaupt nicht dasselbe sind, verringert ein robuster Browser Ihre Gefährdung erheblich, und im Allgemeinen bedeutet neuer (zumindest), dass weniger Exploits "verwendet" werden. das wird dich beeinflussen. Ja, das hilft, und wenn es der einzige Weg in Ihr System ist und sich selbst verhält, muss sich das Betriebssystem nur vernünftig verhalten, um zu verhindern, dass Sie entlarvt werden (auf eine Weise, die alle wahrscheinlichen Betriebssysteme sind).

Jedoch :

  • Browser sind nicht die einzige Quelle für Sicherheitsprobleme. Es gibt nichts, was es tun kann, um Sie vor etwas anderem als sich selbst zu schützen, und in einem kompromittierten System könnte es auch der Browser sein.

  • Schutz auf Betriebssystemebene ist zwar nicht so gut wie der Fehler, der an erster Stelle steht, und begrenzt den Schaden eines Fehlers.

Daher :

  • Wofür Sie die Maschine verwenden und für welche Dienste sie ausgeführt wird usw. wirkt sich erheblich auf die anderen Risiken und damit auf die Antwort auf Ihre Frage aus. Wenn viele andere riskante Ziele geöffnet sind und zuhören, ist es möglicherweise überhaupt nicht relevant, wie gut Ihr Browser ist.

Hinweis :

Die akzeptierte Weisheit (in diesen Teilen) und die Ratschläge, die die Leute geben, sind:

" Mehr Sicherheit ist besser und neuer ist mehr Sicherheit. ", was in diesem Fall bedeutet " Aktualisieren Sie auch Ihr Betriebssystem ".

Beides ist meiner Meinung nach vernünftig und ich würde nicht gegen eine Aktualisierung raten. Aber :

  • Es ist keine Silberkugel: Niemand ist jemals 100% sicher.
  • Es gibt möglicherweise einen Kompromiss mit anderen Dingen wie Bequemlichkeit (die oft fälschlicherweise übersehen werden).
  • Es gibt immer eine geringe Möglichkeit, dass Aktualisierungen dazu führen, dass Sie Windows-10 verwenden, und niemand möchte das ...
2
ANone