Niet alleen de browsers maar ook de plug-ins worden niet vaak genoeg gepatcht. Dat blijkt uit onderzoek van beveiliger Qualys. Het bedrijf heeft daarvoor met zijn gratis BrowserCheck-dienst de browsers en plug-ins van circa tweehonderdduizend eindgebruikers gescand. Daarvan is overigens 2 procent afkomstig uit Nederland.

Consumenten zijn vooral laks met het doorvoeren van patches voor plug-ins. Dat maakt het geheel van de browsers ook onveiliger dan nodig. Als geen rekening gehouden wordt met plug-ins, zouden die er veel beter uitgekomen zijn; dan was maar een kwart niet goed gepatcht. Dat komt vooral doordat voor veel browsers min of meer automatisch updates worden doorgevoerd.

De Java-plug-in komt het slechtst uit de scan; 40 procent van de gescande systemen is voorzien van een verouderde Java-plug-in die niet gepatcht is. Dat geldt voor 32 procent van de systemen met Adobe Reader en een kwart van de gebruikte QuickTime-plug-ins.

Werkelijkheid ernstiger
Wolfgang Kandek, CTO van Qualys, toonde zich verbaasd over het hoge percentage slecht gepatchte browsers en plug-ins. De kans is echter groot dat de werkelijke situatie nog ernstiger is, omdat het hier nog maar om een kleine groep respondenten gaat, die bovendien nog zo begaan is met beveiliging dat ze de scan sowieso heeft uitgevoerd.

Dat er niet gepatcht wordt, komt volgens Kandek doordat gebruikers zich niet bewust zijn van de noodzaak ervan. Ook is het voor hen verwarrend dat er zo veel verschillende manieren zijn waarop de diverse leveranciers de updates distribueren.

Hij ziet als mogelijke oplossing dat meer leveranciers het voorbeeld van Google volgen, dat voor Chrome een automatisch updatemechanisme heeft, dat en passant ook updates voor Flash doorvoert. Ook pleit hij ervoor dat er meer functionaliteit wordt toegevoegd aan HTML5. Dan zijn minder plug-ins nodig en is een groot deel van het patchprobleem bij consumenten opgelost. De volgende generatie browsers kan in dit opzicht verlichting brengen.