Η Google κατηγορεί τη Microsoft ότι αποκάλυψε εκμεταλλεύσεις των Windows 7 με ενημερώσεις κώδικα των Windows 10

Αρχική » Microsoft

Εικονίδιο ώρας ανάγνωσης 2 λεπτό. ανάγνωση

Εικονίδιο ημερολογίου Ενημερώθηκε στις

by Σουρούρ Ντέιβιντς 

ενημερώθηκε στις

Μοιραστείτε αυτό το άρθρο

Οι αναγνώστες βοηθούν στην υποστήριξη του MSpoweruser. Ενδέχεται να λάβουμε προμήθεια εάν αγοράσετε μέσω των συνδέσμων μας. Εικονίδιο επεξήγησης εργαλείου

Διαβάστε τη σελίδα αποκάλυψης για να μάθετε πώς μπορείτε να βοηθήσετε το MSPoweruser να διατηρήσει τη συντακτική ομάδα Διάβασε περισσότερα

Φαίνεται ότι μερικές μέρες απλά δεν μπορείς να κερδίσεις. Η Microsoft ήταν επιμελής σχετικά με την ενημέρωση των Windows 10 με διορθώσεις σφαλμάτων και βελτιώσεις και τώρα η ομάδα ασφαλείας Project Zero της Google παραπονέθηκε ότι αυτό αφήνει τα Windows 7 και τα Windows 8 ευάλωτα σε εκμεταλλεύσεις που αποκαλύπτονται από τη διαδικασία.

Το πρόβλημα οφείλεται στο ότι τα Windows 7 και τα Windows 10 μοιράζονται την ίδια βάση κώδικα, αλλά διορθώσεις σφαλμάτων κυκλοφόρησαν πρώτα και γρήγορα στα Windows 10 και μόνο αργότερα στα Windows 7 και 8, επιτρέποντας στους χάκερ να συγκρίνουν τον κώδικα και να ανιχνεύσουν αλλαγές, οι οποίες μπορούν αποκαλύπτουν τις ιδιαιτερότητες του σφάλματος που διορθώθηκε και την ευπάθεια στη μη διορθωμένη, παλαιότερη έκδοση του λειτουργικού συστήματος.

«Η Microsoft είναι γνωστή για την εισαγωγή μιας σειράς δομικών βελτιώσεων ασφάλειας και μερικές φορές ακόμη και συνηθισμένες διορθώσεις σφαλμάτων μόνο στην πιο πρόσφατη πλατφόρμα των Windows», δήλωσε ο ερευνητής του Google Project Zero Mateusz Jurczyk. "Αυτό δημιουργεί μια ψευδή αίσθηση ασφάλειας για τους χρήστες των παλαιότερων συστημάτων και τους αφήνει ευάλωτους σε ελαττώματα λογισμικού που μπορούν να εντοπιστούν απλώς με τον εντοπισμό λεπτών αλλαγών στον αντίστοιχο κώδικα σε διαφορετικές εκδόσεις των Windows."

Ο Jurczyk ισχυρίζεται ότι βρήκε αρκετές εκμεταλλεύσεις μηδενικής ημέρας χρησιμοποιώντας αυτήν την τεχνική, όπως μια μη αρχικοποιημένη αποκάλυψη μνήμης πυρήνα, η οποία μπορεί να χρησιμοποιηθεί για την παράκαμψη του ASLR του πυρήνα.

«Αυτό ισχύει ιδιαίτερα για κατηγορίες σφαλμάτων με προφανείς διορθώσεις, όπως η αποκάλυψη της μνήμης του πυρήνα και οι προστιθέμενες κλήσεις memset», σημείωσε.

«Ελπίζουμε ότι αυτές ήταν μερικές από τις ελάχιστες περιπτώσεις τέτοιων «χαμηλών φρούτων» που ήταν προσβάσιμες στους ερευνητές μέσω της διαφοράς», καταλήγει. "Και ενθαρρύνουμε τους προμηθευτές λογισμικού να βεβαιωθούν για αυτό εφαρμόζοντας βελτιώσεις ασφαλείας με συνέπεια σε όλες τις υποστηριζόμενες εκδόσεις του λογισμικού τους."

Σε δήλωσή Η Microsoft κατέστησε σαφές ότι θα προτιμούσε όλοι οι χρήστες των Windows να είναι απλώς στην ίδια έκδοση του λειτουργικού συστήματος, λέγοντας:

«Τα Windows δεσμεύονται από τον πελάτη να διερευνήσει τα αναφερόμενα ζητήματα ασφάλειας και να ενημερώσει προληπτικά τις επηρεαζόμενες συσκευές το συντομότερο δυνατό. Επιπλέον, επενδύουμε συνεχώς στην ασφάλεια άμυνας σε βάθος και συνιστούμε στους πελάτες να χρησιμοποιούν τα Windows 10 και το πρόγραμμα περιήγησης Microsoft Edge για την καλύτερη προστασία.»

πηγή: Google Project Zero, μέσω Winbuzzer.com

Περισσότερα για τα θέματα: google έργο μηδέν, microsoft, ασφάλεια, παράθυρα 10, παράθυρα 7

Σουρούρ Ντέιβιντς

Σουρούρ Ντέιβιντς Ασπίδα

Εμπειρογνώμονας smartphone

Ο Surur Davids είναι ο ιδρυτής του WMPoweruser που αργότερα έγινε MSPoweruser.com. Είναι ειδικός στα smartphone με πάνω από μια δεκαετία εμπειρίας.