回归最本质的信息安全

Google:微软优先给Windows 10修漏洞,让旧版本系统用户陷入危险之中

2017年10月9日发布

39,036
0
0

导语:Google顶级安全团队Project Zero表示,微软对不同版本Windows系统使用不同的修补方式和节奏的做法,正使其广大用户陷入安全风险之中。

bytecode.jpg

Google顶级安全团队Project Zero表示,微软对不同版本Windows系统使用不同的修补方式和节奏的做法,正使其广大用户陷入安全风险之中。

Project Zero安全研究员Mateusz Jurczyk通过近期一系列漏洞研究得出这一结论。他发现一枚内核漏洞CVE-2017-8680,只对Windows 7和8.1有效,Windows 10不受影响。深入分析发现,原来微软内部已经悄悄为Windows 10修复了漏洞。

意识到这点后,Mateusz Jurczyk继续对Windows 7、8.1和10最新更新进行分析,对比补丁前后的二进制文件差异。

修复补丁不一致产生新漏洞

Jurczyk随后发现,微软在不同版本系统上针对某些漏洞采取不同的修复方法,引发了新的漏洞,这些漏洞只对特定版本有效。

他列举了CVE-2017-8684和CVE-2017-8685两个新发现的漏洞,因为修复方式不同,它们也只影响Windows 7和8.1。

这两个漏洞都出在Windows GDI+组件上,并于2017年9月的“周二补丁日”修复。

修复补丁不一致会泄漏漏洞点

Jurczyk强调软件开发商应为所有受支持的软件版本提供一致性的安全改进,因为恶意攻击者可能会通过不同版本更新补丁的差异来对比确定,到底是影响所有版本的漏洞,或者只是更新版本里出现的错误。

攻击者可以分析不同的补丁代码来推断漏洞的位置。一旦微软发布更新,攻击者就能对比Windows 7、8.1、10的更新补丁,去找出因为不一致而可能存在问题的点。

研究人员还称,对比补丁和二进制文件差异是一项很简单的操作,所有人都可以做到。有能力的攻击者很容易通过类似方式去识别上述三个漏洞(CVE-2017-8680、CVE-2017-8684、CVE-2017-8685)。

次等公民Windows 7?

因为微软的区别对待,Jurczyk在博客里吐槽:

写这篇博客时,Windows 7在台式机领域仍占据近50%的份额,微软宣传引入了多项重要安全改进,并时常更新修复漏洞。但这只是为旧系统用户营造了一种虚假的安全感,让大家更容易因为软件漏洞受到攻击。

微软公司的发言人告诉The Register,Windows对客户承诺,将调查报告的安全问题,请尽快主动更新受影响的设备。此外,微软将持续对深度防御体系进行投资,建议客户使用Windows 10和Edge浏览器以实现最佳保护。

这段话被记者翻译了下,叫:please, please stop using Windows 7 and 8.

本文翻译自https://www.bleepingcomputer.com/news/security/google-microsoft-is-putting-users-at-risk-by-not-patching-windows-the-same-way/,如若转载,请注明原文地址: http://www.4hou.com/info/news/7888.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

星辰

星辰

这个人很懒,什么也没留下

发私信

发表评论