25.06.2022

О браузерах и ошибках

В то время как большинство пользователей компьютеров сосредотачиваются на исправлениях для настольных компьютеров и мобильных устройств, важно также следить за тем, чтобы браузеры были обновлены.

Нам говорят, что один из лучших способов оставаться в безопасности — убедиться, что на наших компьютерах установлены исправления. Но мы должны всегда помнить, что в любой момент времени существует несколько уязвимостей, которые, вероятно, известны и используются злоумышленниками. Хорошая новость заключается в том, что, по данным Google Project Zero , количество дней между обнаружением ошибки и ее исправлением постепенно уменьшается . Он отслеживает, сколько времени требуется поставщикам для исправления ошибок, и обнаружил, что «в 2021 году поставщикам требовалось в среднем 52 дня для устранения уязвимостей безопасности, о которых сообщалось в Project Zero. Это значительное ускорение по сравнению со средним показателем около 80 дней [три] года назад».

Когда вы просматриваете список ошибок, зарегистрированных с 2019 по 2021 год, становится ясно, что ни одна платформа не застрахована. Apple часто рекламировали как изначально более безопасную, чем другие платформы, но, по данным Google Project Zero, в ней было в общей сложности 84 ошибки по сравнению с 80 у Microsoft. Среднее количество дней на исправление ошибок изменилось с 71 дня на Apple в 2019 году до 64 дней в 2021 году. Для Microsoft временной лаг сократился в среднем с 85 дней до 76 дней.

Не думайте только об ошибках настольных ОС; важно помнить и об ошибках на платформах смартфонов. В рамках программы Google Project Zero на устранение проблем с iOS уходило в среднем 70 дней (и 72 дня на исправление ошибок Android на платформе Samsung). Отличие двух платформ заключается в количестве исправленных ошибок. У iOS было 76 против 10 для Android на платформе Samsung и 6 на платформе Android Pixel. Это несоответствие больше отражает то, как Apple создает и развертывает программное обеспечение.

«Обновления безопасности для «приложений», таких как iMessage, FaceTime и Safari/WebKit, поставляются как часть обновлений ОС, поэтому мы включаем их в анализ операционной системы», — говорится в сообщении Project Zero. «С другой стороны, обновления безопасности для автономных приложений на Android происходят через Google Play Store, поэтому они не включены в этот анализ».

Что касается браузеров, то в браузере с наибольшим количеством пользователей также было больше всего ошибок. В Google Chrome за этот трехлетний период было обнаружено 40 ошибок, и в среднем это было самое быстрое время исправления ошибки. Но не успокаивайтесь, если вы используете браузер Brave — многие браузеры построены на движке Chromium и поэтому так же уязвимы, как и Chrome. Edge, Opera, Vivaldi, Brave, Colibri, Epic и Iron, среди прочих, находятся в одной лодке Chromium. Итак, когда Chrome получит обязательное исправление безопасности, поищите обновления для альтернативных браузеров.

Браузеры — это, по сути, новая «операционная система». они требуют особого внимания, потому что они используются по-разному, а также потому, что многие продукты и услуги переместились в облако. Вы даже можете подумать о запуске версий Chrome и Edge для разработчиков, поскольку бета-версии часто включают функции безопасности, которые могут лучше защитить вас. Или вы можете загрузить версии выпуска с расширенной поддержкой, которые обеспечивают более долгосрочные стабильные исправления. (Например, у Firefox есть версии с расширенной поддержкой (ESR) .) Даже если вы не являетесь корпоративным пользователем, вы можете загрузить Firefox ESR , особенно если вам нужна безопасная платформа без необходимости вносить изменения ради изменений. Преимущество в том, что изменения внедряются медленно; недостатком является то, что изменения часто бывают радикальными. Итак, вы нужно знать, когда будут внесены изменения .

Другая тактика — убедиться, что ваши браузеры настроены на автоматическое обновление и немедленную установку исправлений. В общем, на Askwoody.com я призываю пользователей немедленно отложить исправление Windows и подождать, пока мы не получим полное разрешение на любые известные проблемы. Но для браузеров я настоятельно рекомендую сразу устанавливать обновления; если вы столкнулись с какими-либо побочными эффектами, вы можете легко переключиться на другой браузер, пока не будет исправлена ​​какая-либо ошибка.

В то время как ускорение обновлений безопасности, как правило, хорошо, устранение побочных эффектов поставщика — нет. В прошлом году Chrome перешел от отправки обновлений каждые шесть недель  к выпуску их каждые четыре недели. (Версия с расширенным выпуском безопасности получает выпуски функций каждые 8 ​​недель.)

Для Edge вы можете использовать Intune или групповую политику, чтобы изменить частоту обновления на расширенный выпуск. Откройте редактор локальной групповой политики, перейдите в раздел «Конфигурация компьютера», затем «Административные шаблоны», затем «Обновление Microsoft Edge»> «Приложения»> «Microsoft Edge». Выберите «Переопределение целевого канала» и выберите «Включено». В разделе «Параметры» выберите «Расширенная стабильная версия» в раскрывающемся списке «Политика».

Итог: имейте в виду, что помимо всех уязвимостей, которые исправляются каждый месяц, есть еще много других, которые все еще исследуются и еще не исправлены. Некоторые из них даже используются злоумышленниками. Всякий раз, когда вы используете свой компьютер, всегда будьте осторожны и нажимайте осторожно. Вы всегда в опасности.