Google：微軟優先給Windows 10修漏洞，讓舊版本系統用戶陷入危險之中

Google頂級安全團隊Project Zero表示，微軟對不同版本Windows系統使用不同的修補方式和節奏的做法，正使其廣大用戶陷入安全風險之中。

Project Zero安全研究員Mateusz Jurczyk通過近期一系列漏洞研究得出這一結論。他發現一枚內核漏洞CVE-2017-8680，只對Windows 7和8.1有效，Windows 10不受影響。深入分析發現，原來微軟內部已經悄悄為Windows 10修復了漏洞。

意識到這點後，Mateusz Jurczyk繼續對Windows 7、8.1和10最新更新進行分析，對比補丁前後的二進位文件差異。

修復補丁不一致產生新漏洞

Jurczyk隨後發現，微軟在不同版本系統上針對某些漏洞採取不同的修復方法，引發了新的漏洞，這些漏洞只對特定版本有效。

他列舉了CVE-2017-8684和CVE-2017-8685兩個新發現的漏洞，因為修復方式不同，它們也隻影響Windows 7和8.1。

這兩個漏洞都出在Windows GDI+組件上，並於2017年9月的「周二補丁日」修復。

修復補丁不一致會泄漏漏洞點

Jurczyk強調軟體開發商應為所有受支持的軟體版本提供一致性的安全改進，因為惡意攻擊者可能會通過不同版本更新補丁的差異來對比確定，到底是影響所有版本的漏洞，或者只是更新版本里出現的錯誤。

攻擊者可以分析不同的補丁代碼來推斷漏洞的位置。一旦微軟發布更新，攻擊者就能對比Windows 7、8.1、10的更新補丁，去找出因為不一致而可能存在問題的點。

研究人員還稱，對比補丁和二進位文件差異是一項很簡單的操作，所有人都可以做到。有能力的攻擊者很容易通過類似方式去識別上述三個漏洞（CVE-2017-8680、CVE-2017-8684、CVE-2017-8685）。

次等公民Windows 7？

因為微軟的區別對待，Jurczyk在博客里吐槽：

寫這篇博客時，Windows 7在台式機領域仍佔據近50%的份額，微軟宣傳引入了多項重要安全改進，並時常更新修復漏洞。但這只是為舊系統用戶營造了一種虛假的安全感，讓大家更容易因為軟體漏洞受到攻擊。

微軟公司的發言人告訴The Register，Windows對客戶承諾，將調查報告的安全問題，請儘快主動更新受影響的設備。此外，微軟將持續對深度防禦體系進行投資，建議客戶使用Windows 10和Edge瀏覽器以實現最佳保護。

這段話被記者翻譯了下，叫：please, please stop using Windows 7 and 8.

本文翻譯自https://www.bleepingcomputer.com/news/security/google-microsoft-is-putting-users-at-risk-by-not-patching-windows-the-same-way/，如若轉載，請註明原文地址： http://www.4hou.com/info/news/7888.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：