Web-Browser schicken ihre Versionsbezeichnung in den HTTP-Anfragen mit (hier mit dem Tool Webscarab sichtbar gemacht). In den Server-Logs werden diese Angaben zur späteren Auswertung protokolliert.

Ein Team von Mitarbeitern der ETH Zürich, Google Switzerland und IBM Internet Security Systems warnt in seinem Aufsatz vor Attacken gegen unsichere Browser-Versionen. Nach den Befunden der Studie sind die betroffenen Versionen weit verbreitet.

Das Autorenteam Stefan Frei, Thomas Dübenhofer, Gunter Ollmann und Martin May hat die Webserver-Logs von Googles Websuche und -anwendungen ausgewertet. Diese Protokolle enthalten unter anderem Versionsinformationen, welche die Browser in ihren HTTP-Anfragen mitschicken. Das Feld “User-Agent” enthält bei Firefox, Safari und Opera die Major- und Minor-Versionsnummer, bei Microsofts Internet Explorer (IE) nur die Major-Version. Internet Explorer und Firefox dominieren demnach den Browser-Markt mit rund 78 Prozent beziehungsweise rund 16 Prozent.

Web-Browser schicken ihre Versionsbezeichnung in den HTTP-Anfragen mit (hier mit dem Tool Webscarab sichtbar gemacht). In den Server-Logs werden diese Angaben zur späteren Auswertung protokolliert.

Nach den Analysen der Autoren verwendeten von den Firefox-Usern höchtens 83 Prozent, von den IE-Benutzern maximal 48 Prozent die jüngste, mit Sicherheits-Updates versehene Version des Programms. Überraschend sei, so die Studie, dass somit rund 17 Prozent der Firefox-Anwender mit veralteten und potentiell unsicheren Versionen surften, obwohl der Browser einen eigenen automatischen Update-Mechanismus mitbringt. Insgesamt seien rund 45 Prozent der Surfer durch die Verwendung von unsicheren Browser-Versionen gefährdet.

Der Aufsatz mit dem Titel “Examination of vulnerable online Web browser populations and the ‘insecurity iceberg'” betont, diese Zahlen seien vermutlich nur “die Spitze des Eisbergs”: Zu den als unsicher erfassten Browserversionen müsse man noch zusätzliche Risiken durch Schächen in Browser-Plugins addieren.

Die Studie bezeichnet den Angriff über Schwachstellen des Browsers und seiner Plugins als mittlerweile typische Attacke auf Client-Computer. Beliebte Web-2.0-Websites, auf denen sich Inhalte hinterlegen lassen, dienten den Tätern für Angriffe über I-Frames und hinterlegten Javascript-Code.

Als Gegenmittel empfehlen die Autoren automatische Update-Funktionen sowie Blacklisting gefährlicher Websites, beides Techniken, wie sie in den jüngsten Firefox-Versioen bereits umgesetzt sind. Daneben schlagen sie auch neuartige Maßnahmen vor. Dazu gehört ein “Verfallsdatum” für Browser-Software, nach dem Vorbild der Lebensmittelindustrie. Ein solcher “verfallener” Browser würde dann beispielsweise beim Besuch einer Online-Banking-Website dem Anwender einen Warnhinweis zeigen. Browser-Plugins, die vom Auto-Update des Programms nicht erfasst werden, müssten ebenfalls aktuell gehalten werden. Zudem sollte man sie ausschließlich aus vertrauenswürdigen Quellen installieren.

Der Aufsatz ist online in HTML- und PDF-Versionen verfügbar.