Un navigateur à jour est-il sécurisé sur un système d'exploitation obsolète?
La prise en charge de Windows 7 prendra fin le 14 janvier 202 . En supposant qu'après ce jour j'utilise toujours un navigateur mis à jour, est-il vrai que je suis toujours en sécurité? Peut-il "patcher" les failles de sécurité basées sur le système d'exploitation?
Petite question: généralement, combien de temps les navigateurs cesseraient-ils de prendre en charge les systèmes d'exploitation abandonnés? Y a-t-il un chiffre à ce sujet?
Connexes: Pourquoi la sécurité du navigateur devrait-elle être priorisée?
FYI: Surface d'attaque - Wikipedia
N'utilisez pas un système d'exploitation obsolète, même avec un navigateur moderne.
En supposant qu'après ce jour j'utilise toujours un navigateur mis à jour, est-il vrai que je suis toujours en sécurité?
Non, vous ne pouvez pas éviter les failles de sécurité basées sur le navigateur uniquement en mettant à jour le navigateur. Il y a plusieurs raisons à cela. Principalement, le navigateur n'est pas entièrement autonome. Il utilise des bibliothèques de système d'exploitation, par exemple l'allocateur de mémoire système. Cet allocateur est conçu pour atténuer divers problèmes de sécurité liés à la corruption de mémoire. Si l'allocateur n'est pas tenu à jour, les bogues d'exploitation de la mémoire peuvent être plus faciles à exécuter par rapport au navigateur, quelle que soit la mise à jour du navigateur.
Une autre raison est que la sécurité du navigateur repose souvent sur les fonctionnalités de sandboxing du système d'exploitation. Un puissant exploit de navigateur doit être combiné avec un soi-disant d'échappement de sandbox . La facilité de cette évasion dépend de la sécurité du système d'exploitation ainsi que de la sécurité du navigateur. En utilisant un système d'exploitation obsolète, votre navigateur est protégé par des fonctionnalités de sécurité obsolètes et potentiellement vulnérables.
Peut-il "corriger" les failles de sécurité basées sur le système d'exploitation?
Non. L'application de correctifs aux vulnérabilités du système d'exploitation nécessite des privilèges élevés, ce qu'un navigateur ne possède pas. Même si c'était le cas, les navigateurs ne sont pas conçus pour modifier les paramètres système ou les fichiers système. Il n'y a pas d'extension ou de page Web vers laquelle vous pouvez corriger les failles de sécurité de votre système d'exploitation.
Question mineure: généralement, combien de temps les navigateurs cesseraient-ils de prendre en charge les systèmes d'exploitation abandonnés?
Les fournisseurs de navigateurs publient généralement quand ils cesseront officiellement de prendre en charge un système d'exploitation particulier. Après ce point, les modifications apportées au navigateur qui cassent sur les anciens systèmes ne seront plus considérées comme des bogues et ne pourront plus être corrigées. Cependant, les programmes continuent généralement de fonctionner sur les anciens systèmes pendant très longtemps. Ils ne cessent de fonctionner que lorsqu'ils commencent à s'appuyer sur des API système plus récentes qui ne sont pas présentes dans les anciennes versions. C'est relativement rare. Un navigateur devrait pouvoir fonctionner sur un système d'exploitation obsolète pendant de nombreuses années, mais pas de manière très sécurisée et sans le soutien officiel du fournisseur. Très probablement, comme il commence à s'appuyer sur des API de plus en plus récentes, les fonctionnalités du navigateur vont juste commencer à casser une par une (en particulier les fonctionnalités liées à la sécurité) jusqu'à ce qu'il ne démarre finalement pas du tout.
L'un des avantages des nouveaux systèmes d'exploitation, comme Windows 10 sur Windows 7, est qu'ils disposent de fonctionnalités plus avancées intégrées au système d'exploitation pour se protéger contre des classes entières de vulnérabilités.
Il existe en fait des exemples de navigateurs Web plus sécurisés sous Windows 10 que Windows 7, même si Windows 7 est toujours pris en charge! Voir par exemple cette divulgation de vulnérabilité de sécurité de Google .
Il y avait une vulnérabilité dans Chrome, mais les chercheurs de Google pensent qu'elle n'était exploitable que dans Windows 7 en raison d'une vulnérabilité supplémentaire dans cette version de Windows. Les protections supplémentaires de Windows 10 protégeaient le système malgré la vulnérabilité du navigateur.
Pour répondre à votre question sur la durée pendant laquelle le navigateur prendra en charge les systèmes d'exploitation hérités: Firefox, par exemple, a pris en charge Windows XP et Windows Vista jusqu'en juin 2018, ce qui était bien après la date de fin de prise en charge de ces systèmes d'exploitation. (2014 et 2017 respectivement). Dans leur annonce , ils affirment avoir mis fin au support car les systèmes d'exploitation avaient connu des exploits qui rendaient difficile la maintenance de Firefox.
Chrome a pris en charge Windows XP et Vista jusqu'à la version 50, qui est sortie en avril 2016 (ils ont cessé de prendre en charge Vista avant Microsoft!)
Oh goodie une question de surface.
La surface des attaques contre le système d'exploitation via le navigateur varie énormément avec le navigateur. Avec Internet Explorer, la surface est vaste. D'un autre côté, Firefox utilise principalement ses propres décodeurs pour tout, écrasant la surface en seulement quelques morceaux. Dans tous les cas, la pile TCP TCP, DNS et le moteur de rendu des polices restent des cibles d'attaque. Il est imprudent de supposer que l'attaquant ne sélectionnera pas une vulnérabilité qui fonctionnera réellement, et je vois GDI + à distance vulnérabilités d'exécution de code tous les quelques mois, presque comme sur des roulettes.
Ne fais pas ça mec. Du moins pas sous Windows. Sous Linux, nous pouvons faire des choses exotiques qui font que le shellcode ne fonctionne pas, ce qui obligerait au moins l'attaquant à vous cibler spécifiquement. Mais si vous ne les avez pas fait, ne le faites pas non plus sur Linux.
Réponse:
Les navigateurs sont une grande surface pour les failles de sécurité et sont une source courante de bugs et de faiblesses. Bien que "à jour" et "sécurisé" ne soient pas du tout la même chose, avoir un navigateur robuste réduira considérablement votre exposition, et en général plus récent (à tout le moins) signifie qu'il y aura moins d'exploits "en cours d'utilisation" cela vous affectera. Alors oui, cela aide, et si c'est la seule façon d'accéder à votre système et s'il se comporte lui-même, alors le système d'exploitation n'a besoin que de se comporter de manière saine pour vous empêcher d'être exposé (sain d'une manière que tous les systèmes d'exploitation sont probablement).
Cependant :
Les navigateurs ne sont pas la seule source de problèmes de sécurité. Il ne peut rien faire pour vous protéger contre autre chose que lui-même et dans un système compromis, le navigateur pourrait l'être également.
Les protections au niveau du système d'exploitation ne sont pas aussi bonnes que de ne pas avoir le bogue en premier lieu et limitent les dommages d'un bogue.
D'où :
- La raison pour laquelle vous utilisez la machine et les services qu'elle exécute, etc. affecteront considérablement les autres risques et donc la réponse à votre question. S'il y a beaucoup d'autres cibles risquées ouvertes et à l'écoute, la qualité de votre navigateur peut ne pas être très pertinente du tout.
Conseil:
La sagesse acceptée (dans ces parties) et les conseils que les gens font pour donner sont:
" Plus de sécurité est meilleure, et plus récente est plus de sécurité. ", ce qui se traduit dans ce cas par " Mettez également à jour votre système d'exploitation ".
Les deux sont raisonnables à mon avis et je ne déconseillerais pas la mise à jour. Mais :
- Ce n'est pas une solution miracle: personne n'est jamais sûr à 100%.
- Il y a potentiellement un compromis contre d'autres choses comme la commodité (qui sont souvent négligées à tort).
- Il y a toujours une mince possibilité de mise à jour des prospects pour que vous utilisiez Windows-10, et personne ne veut ça ...