Google:微軟優先給Windows 10修漏洞,讓舊版本系統用戶陷入危險之中
Google頂級安全團隊Project Zero表示,微軟對不同版本Windows系統使用不同的修補方式和節奏的做法,正使其廣大用戶陷入安全風險之中。
Project Zero安全研究員Mateusz Jurczyk通過近期一系列漏洞研究得出這一結論。他發現一枚內核漏洞CVE-2017-8680,只對Windows 7和8.1有效,Windows 10不受影響。深入分析發現,原來微軟內部已經悄悄為Windows 10修復了漏洞。
意識到這點後,Mateusz Jurczyk繼續對Windows 7、8.1和10最新更新進行分析,對比補丁前後的二進位文件差異。
修復補丁不一致產生新漏洞
Jurczyk隨後發現,微軟在不同版本系統上針對某些漏洞採取不同的修復方法,引發了新的漏洞,這些漏洞只對特定版本有效。
他列舉了CVE-2017-8684和CVE-2017-8685兩個新發現的漏洞,因為修復方式不同,它們也隻影響Windows 7和8.1。
這兩個漏洞都出在Windows GDI+組件上,並於2017年9月的「周二補丁日」修復。
修復補丁不一致會泄漏漏洞點
Jurczyk強調軟體開發商應為所有受支持的軟體版本提供一致性的安全改進,因為惡意攻擊者可能會通過不同版本更新補丁的差異來對比確定,到底是影響所有版本的漏洞,或者只是更新版本里出現的錯誤。
攻擊者可以分析不同的補丁代碼來推斷漏洞的位置。一旦微軟發布更新,攻擊者就能對比Windows 7、8.1、10的更新補丁,去找出因為不一致而可能存在問題的點。
研究人員還稱,對比補丁和二進位文件差異是一項很簡單的操作,所有人都可以做到。有能力的攻擊者很容易通過類似方式去識別上述三個漏洞(CVE-2017-8680、CVE-2017-8684、CVE-2017-8685)。
次等公民Windows 7?
因為微軟的區別對待,Jurczyk在博客里吐槽:
寫這篇博客時,Windows 7在台式機領域仍佔據近50%的份額,微軟宣傳引入了多項重要安全改進,並時常更新修復漏洞。但這只是為舊系統用戶營造了一種虛假的安全感,讓大家更容易因為軟體漏洞受到攻擊。
微軟公司的發言人告訴The Register,Windows對客戶承諾,將調查報告的安全問題,請儘快主動更新受影響的設備。此外,微軟將持續對深度防禦體系進行投資,建議客戶使用Windows 10和Edge瀏覽器以實現最佳保護。
這段話被記者翻譯了下,叫:please, please stop using Windows 7 and 8.
※繞過DKIM驗證,偽造釣魚郵件
※Mac固件安全研究
※Powershell 安全最佳實踐
TAG:嘶吼RoarTalk |