Google:微軟優先給Windows 10修漏洞,讓舊版本系統用戶陷入危險之中
Google頂級安全團隊Project Zero表示,微軟對不同版本Windows系統使用不同的修補方式和節奏的做法,正使其廣大用戶陷入安全風險之中。
Project Zero安全研究員Mateusz Jurczyk通過近期一系列漏洞研究得出這一結論。他發現一枚內核漏洞CVE-2017-8680,只對Windows 7和8.1有效,Windows 10不受影響。深入分析發現,原來微軟內部已經悄悄為Windows 10修復了漏洞。
意識到這點後,Mateusz Jurczyk繼續對Windows 7、8.1和10最新更新進行分析,對比補丁前後的二進位文件差異。
修復補丁不一致產生新漏洞
Jurczyk隨後發現,微軟在不同版本系統上針對某些漏洞採取不同的修復方法,引發了新的漏洞,這些漏洞只對特定版本有效。
他列舉了CVE-2017-8684和CVE-2017-8685兩個新發現的漏洞,因為修復方式不同,它們也隻影響Windows 7和8.1。
這兩個漏洞都出在Windows GDI+組件上,並於2017年9月的「周二補丁日」修復。
修復補丁不一致會泄漏漏洞點
Jurczyk強調軟體開發商應為所有受支持的軟體版本提供一致性的安全改進,因為惡意攻擊者可能會通過不同版本更新補丁的差異來對比確定,到底是影響所有版本的漏洞,或者只是更新版本里出現的錯誤。
攻擊者可以分析不同的補丁代碼來推斷漏洞的位置。一旦微軟發布更新,攻擊者就能對比Windows 7、8.1、10的更新補丁,去找出因為不一致而可能存在問題的點。
研究人員還稱,對比補丁和二進位文件差異是一項很簡單的操作,所有人都可以做到。有能力的攻擊者很容易通過類似方式去識別上述三個漏洞(CVE-2017-8680、CVE-2017-8684、CVE-2017-8685)。
次等公民Windows 7?
因為微軟的區別對待,Jurczyk在博客里吐槽:
寫這篇博客時,Windows 7在台式機領域仍佔據近50%的份額,微軟宣傳引入了多項重要安全改進,並時常更新修復漏洞。但這只是為舊系統用戶營造了一種虛假的安全感,讓大家更容易因為軟體漏洞受到攻擊。
微軟公司的發言人告訴The Register,Windows對客戶承諾,將調查報告的安全問題,請儘快主動更新受影響的設備。此外,微軟將持續對深度防禦體系進行投資,建議客戶使用Windows 10和Edge瀏覽器以實現最佳保護。
這段話被記者翻譯了下,叫:please, please stop using Windows 7 and 8.
本文翻譯自https://www.bleepingcomputer.com/news/security/google-microsoft-is-putting-users-at-risk-by-not-patching-windows-the-same-way/,如若轉載,請註明原文地址: http://www.4hou.com/info/news/7888.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※解密:全球超過400個知名網站正在記錄你的每一個擊鍵過程
※「周二補丁日」,微軟修復影響Windows系統的48個安全漏洞
※反取證、密碼學、逆向工程軟體…… 10大最好的網路安全Reddit都在這兒
※維基解密又雙叒叕曝光了 CIA 針對 Mac 和 Linux 的 3 個黑客工具
TAG:信息安全 | MicrosoftWindows |