Пришло время перестать избегать обновлений

Обновления программного обеспечения могут быть неоднозначными. Они добавляют новые функции и исправляют проблемы, но могут также приносить и новые ошибки. Люди откладывали обновления, чтобы избежать этой головной боли, что было неплохой идеей на заре компьютерной эры. Однако, поскольку уязвимости безопасности становятся все более распространенными, пришло время остановиться.

Эта статья Недели осведомленности о кибербезопасности представлена ​​вам совместно с Incogni.

Автоматические обновления программного обеспечения не были так уж распространены в 2000-х годах, и со временем это стало еще большей проблемой, поскольку популярность Интернета возросла, а атаки вредоносных программ усилились. Например, уязвимость безопасности в Internet Explorer была исправлена ​​Microsoft в апреле 2004 года, но вирус, использовавший эту уязвимость несколько месяцев спустя, все еще мог атаковать многие компьютеры просто потому, что многие люди еще не установили исправление безопасности. Многие исправления безопасности для Windows и Mac OS X (позже macOS) также не устанавливались автоматически или ими было сложно управлять.

Google Chrome помог сделать автоматические обновления массовыми, отчасти потому, что они обычно ничего не нарушали, но также и потому, что были почти незаметны. Mozilla добавила аналогичную функцию «Тихое обновление» в Firefox в 2012 году с выпуском Firefox 15, и другие веб-браузеры в конечном итоге завоевали популярность. Многие другие приложения также начали реализовывать автоматические обновления, или обновления просто обрабатывались магазином приложений или программой запуска игр, из которой они пришли. Интересный факт: программа запуска игр Steam поддерживает автоматические обновления с момента ее создания в 2003 году.

Автоматическое обновление теперь прочно утвердилось в качестве поведения по умолчанию для большинства программ, а не ограничивается только операционной системой или несколькими более уязвимыми приложениями. Технологические компании также становятся лучше в выявлении потенциальных проблем с обновлениями до их широкого развертывания, используя такие методы, как поэтапное развертывание, отчеты о сбоях, модульное тестирование и каналы предварительной версии. Например, новые функции Chrome обычно начинаются с каналов Canary и Dev, переходят на бета-канал, когда они работают достаточно хорошо, а затем в конечном итоге распространяются на всех, кто использует обычный (стабильный канал) Chrome. В настоящее время у Microsoft есть четыре канала предварительных выпусков Windows 11: Canary, Dev, Beta и Release Preview.

Альтернатива хуже

Даже при улучшенных процессах тестирования и разработки все еще существует вероятность того, что обновление может содержать некоторые ошибки. Программное обеспечение создается людьми (или искусственным интеллектом, обученным человеческой работе), и люди иногда допускают ошибки. По-прежнему может возникнуть соблазн отложить обновления приложений и операционной системы, особенно если ваше устройство работает нормально. Однако вам следует попытаться установить обновления, когда они станут доступны, поскольку эти обновления могут просто уберечь вас от вредоносного ПО и украденных личных данных.

За последние несколько лет мы наблюдаем рост количества обнаруженных уязвимостей безопасности, многие из которых относятся к «нулевым дням» — уязвимостям безопасности, которые становятся общедоступными до того, как будет доступно их исправление. Mandiant, компания по анализу угроз, которая сейчас принадлежит Google, отследила 246 уязвимостей в период с 2021 по 2022 год. Это больше, чем в предыдущие годы, и 62% из них были эксплойтами нулевого дня.

К счастью, компании становятся лучше в своевременном устранении проблем безопасности после их обнаружения. Мандиант сообщил в своем блоге: «Из 153 нулевых дней, выявленных в 2021 и 2022 годах, только 35 (23 процента) получили исправления после первого месяца после первой известной эксплуатации, что указывает на то, что большинство нулевых дней устраняются своевременно. Фактически, 101 нулевой день был исправлен в течение первой недели после того, как об эксплуатации стало известно».

В 2023 году уязвимости безопасности не улучшатся. Google исправил одну из них в браузере Chrome еще в апреле, в Windows 11 их было несколько в этом году, а один эксплойт Safari заставил Apple обновить все свои устройства в августе. Также была обнаружена уязвимость безопасности в библиотеке изображений WebP, в результате которой были экстренно исправлены Google Chrome, Mozilla Firefox и Thunderbird, Microsoft Edge, LibreOffice и многие другие приложения, использующие уязвимый код.

Сейчас как никогда важно следить за тем, чтобы ваша операционная система, приложения и другое программное обеспечение всегда были актуальными, а также следить за тем, чтобы ваши друзья и родственники делали то же самое.

Важные обновления

К счастью, обеспечение безопасности не обязательно означает установку основных обновлений Windows или iOS, как только они станут доступны. Большинство операционных систем и некоторые популярные приложения поставляют исправления безопасности в виде отдельных обновлений, которые обычно можно установить, не беспокоясь об изменениях функций. Например, Microsoft выпускает ежемесячные обновления безопасности как для Windows 10, так и для Windows 11, хотя поддержка Windows 10 прекратится в 2025 году. LibreOffice, офисный пакет с открытым исходным кодом, продолжает исправлять ошибки и недостатки безопасности в предыдущей версии некоторое время после доступна новая основная версия.

Apple поддерживает две или три основные версии macOS и iOS/iPadOS в любой момент времени. Например, когда Apple исправила уязвимость безопасности CVE-2023-42824 в iPhone и iPad, исправление было распространено как на iOS 16, так и на iOS 17. Это означает, что если вы еще не обновились до последней основной версии или устройство слишком старо для iOS 17, вы по-прежнему защищены от угроз безопасности.

Некоторое программное обеспечение не дает вам выбора между установкой всех обновлений или установкой только исправлений безопасности, но если у вас есть такая возможность, это может быть отличным способом оставаться в безопасности без необходимости приспосабливаться к другим изменениям.