Plugin-Updates und Google Chrome

Chrome

Bereits vor einiger Zeit hat Panayiotis Mavrommatis einige Statistiken zu Updates von Plugins in Google Chrome veröffentlicht. Er ist der Entwickler der Chrome-Extension Secbrowsing und arbeitet für Google. Er hat eine Präsentation eines Kollegen aufgearbeitet.

Folgende Plugins hatten die Nutzer von Google Chrome 4.1 installiert:
– Flash 97%
– Adobe Reader 86%
– Java 66% (nur 14% hatten alle Updates installiert)
– Windows Media Player 53%
– Silverlight 49%
– Quicktime 39%

Gerade die ersten drei sind sehr anfällig für Sicherheitslücken und sollten deswegen immer aktuell gehalten werden. Der Googler Ian Fette gibt noch einige weitere Tipps:
-Er empfiehlt die meistens Plugins zu deaktivieren, da diese unter Umständen ein Sicherheitsproblem darstellen. Über die Content Settings kann man sie für einzelne Seiten dennoch erlauben.
-Webseiten können es verlangen, dass eine alte Java-Version installiert werden muss, was „neue“ Sicherheitslücken im System schaft. Da man Java nicht in eine Sandbox packen könne, reiche ein Exploit aus, der auf allen System arbeitet. Nur 14% hatten alle Updates installiert.
-Alle Browserhersteller arbeiten an zusätzlichen Schutzsystemen für Plugins, wie Sandboxing, Warnungen und auto-update.
-Die Safe Browsing API von Google umfasst in der Regel immer circa eine halbe Million Webseiten, die den Besuchern schaden könnten. Sie warnt Nutzer von Chrome, Safari und Firefox.
-Was ich erschreckend finde: 50% der Nutzer, die in Chrome eine solche Warnung gezeigt bekommen, ignorieren diese und greifen dennoch auf die Seite zu, auch wenn Google sich sehr sicher ist, dass hier Malware verbreitet wird.

Diese Schutzsysteme wird Google schaffen bzw. hat sie schon integriert:
-Integriertes Flash-Plugin (Chrome 5+)
-Einfacher PDF-Viewer mit Sandbox (in Chrome 6 Dev) 
-Warnung auf about:plugins wenn ein Update zur Verfügung steht (in Chrome 6 Dev)
-Warnung, wenn ein selten genutztes Plugin ausgeführt werden soll
-Ausführung von veralteten Plugins wird unterbunden
-eine „next generation plug-in API“

Zum Testen, ob auf seinem System alle Plugin Updates installiert sind, kann man diese Erweiterung nutzen. Sie zeigt einen Icon in der Adressleiste an, wenn ein Update zur Verfügung steht.

Teile diesen Artikel: