Google beskylder Microsoft for at afsløre Windows 7-udnyttelser med Windows 10-patches

Home » microsoft

Ikon for læsetid 2 min. Læs

Kalenderikon Opdateret den

by Surur Davids 

opdateret

Del denne artikel

Læsere hjælper med at understøtte MSpoweruser. Vi får muligvis en kommission, hvis du køber via vores links. Værktøjstip-ikon

Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere

Det ser ud til, at nogle dage bare ikke kan vinde. Microsoft har været flittig med at opdatere Windows 10 med fejlrettelser og forbedringer, og nu har Googles Project Zero-sikkerhedsteam klaget over, at dette efterlader Windows 7 og Windows 8 sårbare over for udnyttelser afsløret af processen.

Problemet skyldes, at Windows 7 og Windows 10 deler den samme kodebase, men fejlrettelser bliver rullet ud til Windows 10 først og hurtigt, og først senere til Windows 7 og 8, hvilket giver hackere mulighed for at sammenligne koden og opdage ændringer, som kan afsløre detaljerne for fejlen rettet og sårbarheden i den ikke-fiksede, ældre version af operativsystemet.

"Microsoft er kendt for at introducere en række strukturelle sikkerhedsforbedringer og nogle gange endda almindelige fejlrettelser kun til den seneste Windows-platform,” sagde Google Project Zero-forsker Mateusz Jurczyk. "Dette skaber en falsk følelse af sikkerhed for brugere af de ældre systemer og efterlader dem sårbare over for softwarefejl, som kan opdages blot ved at opdage subtile ændringer i den tilsvarende kode i forskellige versioner af Windows."

Jurczyk hævder at have fundet flere zero-day exploits ved hjælp af denne teknik, såsom en uinitialiseret kernehukommelses-afsløring, som kan bruges til at omgå kerne-ASLR.

"Dette gælder især for fejlklasser med åbenlyse rettelser, såsom afsløring af kernehukommelse og de tilføjede memset-kald," bemærkede han.

"Vi håber, at dette var nogle af de meget få tilfælde af, at sådanne 'lavthængende frugter' var tilgængelige for forskere gennem diffing," konkluderer han. "Og vi opfordrer softwareleverandører til at sikre sig det ved at anvende sikkerhedsforbedringer konsekvent på tværs af alle understøttede versioner af deres software."

I en erklæring Microsoft gjorde det klart, at de ville foretrække, at alle Windows-brugere blot var på den samme version af operativsystemet, og sagde:

"Windows har en kundeforpligtelse til at undersøge rapporterede sikkerhedsproblemer og proaktivt opdatere berørte enheder så hurtigt som muligt. Derudover investerer vi løbende i dybdegående forsvarssikkerhed og anbefaler kunder at bruge Windows 10 og Microsoft Edge-browseren for den bedste beskyttelse."

Kilde: Google Project Zero, via Winbuzzer.com

Mere om emnerne: google projekt nul, microsoft, sikkerhed, Windows 10, Windows 7

Surur Davids

Surur Davids Shield

Smartphone ekspert

Surur Davids er grundlæggeren af ​​WMPoweruser, som senere blev til MSPoweruser.com. Han er en smartphone-ekspert med mere end ti års erfaring.