Apple y Opera redujeron los regímenes de parches de navegadores

Apple y Opera están a la zaga de Google y Mozilla cuando se trata de distribuir actualizaciones de navegador web debido a la forma en que han estructurado sus programas de parches, según una nueva investigación.

Solo el 53 por ciento de los usuarios en una versión 3.x de Safari aplicó una nueva actualización en tres semanas, escribió Thomas Duebendorfer de Google Switzerland y Stefan Frei del Instituto Federal Suizo de Tecnología (ETH Zurich) en un documento de investigación.

Además, las personas que ejecutan una versión 3.2 de Safari deben aplicar una Actualización del sistema operativo Tiger o Leopard primero antes de obtener nuevas actualizaciones del navegador, lo que ralentiza el proceso general del parche. En las tres semanas posteriores al lanzamiento de la versión 3.2.1 de Safari, por ejemplo, solo el 33% de los usuarios lo instalaron.

[Más información: cómo eliminar el malware de su PC con Windows]

El navegador de Opera buscará actualizaciones una vez a la semana, pero un usuario debe pasar por el mismo procedimiento de instalación para las actualizaciones como si estuviera instalando Opera por primera vez. Es un proceso engorroso, escribieron los investigadores.

Tres semanas después de una nueva versión, solo el 24 por ciento de los usuarios activos diarios de Opera versión 9.x tienen instalada la versión más reciente. Sin embargo, Opera planea incorporar un mecanismo de actualización automática en su próxima versión planificada, la versión 10.

"En general, la poca efectividad de la actualización de Apple Safari y Opera les da a los atacantes tiempo suficiente para usar exploits conocidos para atacar a los usuarios de navegadores obsoletos ", escribieron los investigadores.

Frei y Duebendorfer recogieron sus datos en buscadores mediante el análisis de los registros web de Google, que registra las cadenas de navegadores de usuario-agente. Una cadena de agente de usuario es información que generalmente revela el tipo de navegador web y la versión que usa una persona.

El navegador de Microsoft Internet Explorer fue excluido de algunas partes del estudio ya que su cadena de agente de usuario no revela cambios incrementales de versión para seguridad razones.

Chrome de Google salió en la parte superior. El estudio encontró que el 97 por ciento de los usuarios de Chrome en la versión 1.x recibió una actualización dentro de las tres semanas. Chrome usa un mecanismo de actualización silenciosa donde las actualizaciones se descargan automáticamente sin indicaciones del usuario y luego se aplican cuando se reinicia el navegador.

Google también ha abierto su tecnología de actualización automática, cuyo nombre en código es Omaha, lo que significa que cualquiera puede usarla. Omaha buscará actualizaciones de Google incluso cuando Chrome no se esté ejecutando, escribieron los investigadores. Chrome comprueba las actualizaciones cada cinco horas.

Es posible que los usuarios de Chrome no alcancen un nivel de actualización del 100% debido a otros problemas, como personas que no reinician el navegador, cortafuegos que bloquean las actualizaciones y algunas computadoras instaladas, como cibercafés, que funcionan las imágenes de software de solo lectura en máquinas virtuales que no permiten actualizaciones de software, escribieron.

El navegador Firefox de Mozilla fue el segundo mejor, con aproximadamente el 85 por ciento de los usuarios que emplean la última versión 21 días después de su lanzamiento. Firefox busca actualizaciones frecuentemente y también solicita a los usuarios que instalen la nueva versión, lo que contribuye a las actualizaciones rápidas que escribieron.

La actualización de un navegador web es importante ya que es una de las aplicaciones atacadas con más frecuencia. Frei y Duebendorfer escribieron que, en general, el 45.2 por ciento de los usuarios de la Web no usaban la última versión de su navegador web, de acuerdo con los registros del servidor de Google que analizaron.

"Los navegadores web necesitan urgentemente un mecanismo de actualización muy efectivo o perderá la batalla por asegurar navegadores web vulnerables antes de que sus usuarios sean víctimas de los atacantes ", escribieron.