根据一项针对微软在2013年下半年修复的漏洞的调查,通过切换到非微软浏览器,Windows XP的用户可以将适用于该操作系统的漏洞数量减半。
统计数据支持从安全专家,都推荐谁的用户运行一个对手浏览器,以避免一些针对他们的未受保护的电脑攻击的建议。
上个月,微软停止向Windows XP电脑发送补丁。这一禁令也适用于在旧操作系统上运行的任何版本的IE。但从2013年7月到12月,Windows和IE漏洞被修补的记录表明,与操作系统本身相比,浏览器对XP的恶意攻击者构成了更大的安全风险。
在6个月的拉伸,微软修补19个独立的关键漏洞的IE版本 - IE6,IE7和IE8 - 在Windows XP上运行的那个。“紧急”是微软最严重威胁的标签,并表示黑客谁成功利用这些漏洞或许可以损害其驱动器上的PC和设备的恶意软件。
在同一时期,微软在Windows XP修补16个关键漏洞。所有,但一个也修复了Windows 7或Windows 8或两者同时为Windows XP中。
最后一行是很重要的。
安全专家,包括微软,预测,黑客将分析所提供的操作系统的其它版本找到破绽XP补丁。通过开展前和后的补丁代码进行比较,攻击者可能能够找出其中的一个漏洞在于,比如说,Windows 7中,这将被修补,然后嗅周围的XP的代码相同的一部分,直到他们发现的bug存在。从这一点来说,这将是他们相对简单的手艺的开发利用它针对未受保护的电脑XP。
“在[2014年]4月之后,当我们为支持的Windows版本发布每月安全更新时,攻击者将尝试和逆向工程他们在2013年10月的一篇博客中,微软值得信赖的计算小组的负责人达斯汀·蔡尔兹(Dustin Childs)说。“如果它们成功了,攻击者将有能力开发利用它们的攻击代码。”
定格在2013年下半年的16个关键的Windows XP漏洞,14也修复了Windows 7和Windows 8,只是在Windows 7中一个也被解决,一个是在Windows XP中才发现。换句话说,该漏洞15符合微软的标准为逆向工程,能。
网络罪犯将有一个更容易的时间在IE中定位的错误,如IE6,IE7和IE8将继续在Windows的其他口味要修补。即使是IE6,Windows XP中,其前出货,将被修补,直到2015年7月,当Windows Server 2003的退休。
黑客可以使用同样的代码比较技术的IE补丁,以创造对XP的浏览器漏洞。
对于那些能得分,这是19级IE浏览器的漏洞和15个逆向工程潜在的Windows XP漏洞。换句话说,从XP的情况消除IE会由57%,去年降低了攻击面。
微软并不这样认为。
“更改浏览器不会降低这一风险,因为绝大多数此类攻击所使用的漏洞是不相关的浏览器,”蒂姆·雷恩斯,微软可信赖计算部门的主管在3月份表示,当他命名浏览网页是头号风险用户仍然运行Windows XP。
数字说法不一,因为这样做谁不为微软工作的专家。
“你不应该在XP上使用IE,”Gartner的分析师Michael Silver在上周的一次采访中说。“在XP上运行IE的唯一原因是访问企业的内部网站。”
银给他的无IE-ON-XP建议微软修补了浏览器后,5月1日推翻错误,黑客已经利用。微软补丁IE的所有版本,但更重要的是,通过提供修补程序到Windows XP用户提供政策爆发。当时,微软表示,它决定在XP上给IE打补丁——尽管后者已经退出了支持——因为此时距XP退休只有几周时间。
“对于大多数企业来说,另一个教训,学习[从5月1日的补丁例外]是用户使用多个浏览器是很舒服,”约翰·佩斯卡托,在SANS研究所,安全培训机构的出现的安全趋势主任。“大多数试图锁定用户到一个浏览器,但是这是一个问题。世界已经改变了。公司应该从仅需一个浏览器中得到了。”
今年三月,美国计算机应急准备小组(US-CERT)向谁策划与Windows XP要坚持人转储IE用一个不同的浏览器替换它,以消除前者现在没有修补的漏洞。
谷歌将继续XP上修补Chrome至少在2015年4月之前,Mozilla和Opera软件都没有计划在短期内放弃对Firefox和Opera的支持。
格雷格·科泽尔为计算机世界涵盖微软,安全问题,苹果,网络浏览器和一般技术的突发新闻。在推特上关注格雷格@gkeizer, 上Google+的或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@computerworld.com。
了解更多有关Windows在计算机世界的Windows主题中心。
这个故事,“Windows XP中的顽固派可以通过IE倾销斜线攻击的风险”最初发表计算机世界 。