Google Chrome-Benutzer benötigen mindestens einen Monat für ein Update, da Zero-Days lauern

Cyber Security News

Forscher berichteten am Montag, dass die überwiegende Mehrheit der Chrome-Benutzer fast einen Monat braucht, um einen neuen Patch zu installieren – etwas, das angesichts der Zunahme von Zero-Day-Angriffen auf Chrome-Browser im letzten Jahr Anlass zur Sorge gibt.

In einem Blog von Menlo Security fanden die Forscher heraus, dass Chrome 87 zwar am 17. November 2020 veröffentlicht wurde, es aber mindestens einen Monat dauerte, bis 84 % der Kunden ihren Browser aktualisiert hatten. Der gleiche Trend wurde mit Chrome 88 beobachtet, der am 19. Januar 2021 veröffentlicht wurde, aber auch einen Monat dauerte, bis 68% der Kunden aktualisiert.

Vinay Pidathala, Director of Security Research bei Menlo Security, sagte, die Forscher wiesen auf die Verzögerung hin, weil von 10 Zero-Days, die im Jahr 2020 aktiv Browser in freier Wildbahn ausnutzen, vier auf Chrome gerichtet waren.

“Wir stellen fest, dass Zero-Day-Exploits gegen jede Anwendung funktionieren können”, sagte Pidathala. “Angreifer zielen auf Anwendungen, die eine globale und weit verbreitete Akzeptanz haben. Wir denken, dass wir in Zukunft mehr Zero-Days gegen Chrome sehen werden, weil es den Markt dominiert.”

Und ab Januar 2020 wird der Edge-Browser von Microsoft auf Chromium basieren, fügte Pidathala hinzu. Die Entwicklung eines Exploits für Chrome gibt den Angreifern jetzt eine viel größere Angriffsfläche, auf die sie losgehen können.

Laut der Menlo-Forschung waren das Finanz- und Bankwesen, die Regierung, das Baugewerbe und die Öl- und Gasindustrie die frühen Anwender, wobei Nordamerika und Singapur die meisten Kunden hatten, die sich aktualisierten, sobald der Patch veröffentlicht wurde.

Hank Schless, Senior Manager für Sicherheitslösungen bei Lookout, sagte, dass zusätzlich zu den CVEs, die im Blog von Menlo aufgeführt sind, eine der vier auf Chrome für Android abzielt. Schless fügte hinzu, dass, da Chrome auf jedem Android-Gerät als Standard-Browser geladen ist, ein weit verbreitetes Risiko für alle Android-Benutzer besteht. Selbst wenn der Besitzer des Geräts Chrome nicht als Standardbrowser verwendet, ist er mit einer veralteten Version der App anfällig, so Schless.

“Unsere Ergebnisse unterstützen auch den Punkt von Menlo, dass es eine Verzögerung gibt, wenn Benutzer ihre Apps aktualisieren”, sagte Schless. “Etwa 24 Stunden, nachdem die aktualisierte Version von Chrome im PlayStore verfügbar war, nachdem das Android CVE gemeldet wurde, haben wir beobachtet, dass etwa die Hälfte der Android-Benutzer ihre App aktualisiert hat. Diejenigen, die die App nicht aktualisiert haben, haben entweder keine automatischen Updates aktiviert oder haben ein Gerät, das zu alt ist, um die aktualisierte Software zu unterstützen.”

Sicherheitsexperten müssen Richtlinien für die Verwaltung mobiler Schwachstellen und Patches durchsetzen, die den Zugriff auf Unternehmensressourcen blockieren, wenn sich eine anfällige App auf dem Gerät befindet, so Schless. Auf diese Weise werden Endanwender gezwungen, ihre App zu aktualisieren, wenn sie mit ihrem Smartphone oder Tablet voll produktiv sein wollen. Außerdem werden mobile Geräte so in den bestehenden Patch-Management-Workflow eines Unternehmens eingebunden, was eine zukünftige Abdeckung von ausnutzbaren Schwachstellen gewährleistet.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com