Google syyttää Microsoftia Windows 7:n hyväksikäytön paljastamisesta Windows 10 -korjausten kanssa

Koti » Microsoft

Lukuajan kuvake 2 min. lukea

Kalenterikuvake Päivitetty

by Surur Davids 

päivitetty

Jaa tämä artikkeli

Lukijat auttavat tukemaan MSpoweruseria. Saatamme saada palkkion, jos ostat linkkien kautta. Työkaluvihje-kuvake

Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää

Näyttää siltä, ​​että joinakin päivinä et vain voi voittaa. Microsoft on ollut ahkera päivittääkseen Windows 10:n virheenkorjauksilla ja parannuksilla, ja nyt Googlen Project Zero -tietoturvatiimi on valittanut, että tämä jättää Windows 7:n ja Windows 8:n alttiiksi prosessin paljastamille hyväksikäytöille.

Ongelma johtuu siitä, että Windows 7 ja Windows 10 jakavat saman koodipohjan, mutta virheenkorjaukset julkaistaan ​​ensin ja nopeasti Windows 10:ssä ja vasta myöhemmin Windows 7:ssä ja 8:ssa, jolloin hakkerit voivat verrata koodia ja havaita muutoksia, mikä voi paljastaa korjatun bugin yksityiskohdat ja haavoittuvuuden korjaamattomassa, vanhemmassa käyttöjärjestelmäversiossa.

"Microsoft tunnetaan joukosta rakenteellisia tietoturvaparannuksia ja joskus jopa tavallisia virheenkorjauksia vain uusimpaan Windows-alustaan", sanoi Google Project Zero -tutkija Mateusz Jurczyk. "Tämä luo vääränlaisen turvallisuuden tunteen vanhojen järjestelmien käyttäjille ja jättää heidät alttiiksi ohjelmistovirheille, jotka voidaan havaita vain havaitsemalla hienovaraisia ​​muutoksia vastaavassa koodissa eri Windows-versioissa."

Jurczyk väittää löytäneensä useita nollapäivän hyväksikäyttöä tällä tekniikalla, kuten alustamattoman ytimen muistin paljastamisen, jota voidaan käyttää ytimen ASLR:n ohittamiseen.

"Tämä pätee erityisesti virheluokkiin, joissa on ilmeisiä korjauksia, kuten ytimen muistin paljastaminen ja lisätyt memset-kutsut", hän huomautti.

"Toivomme, että nämä olivat joitain harvoista tapauksista, joissa tällaiset "matalalle roikkuvat hedelmät" ovat olleet tutkijoiden ulottuvilla erottelun kautta", hän päättää. "Ja rohkaisemme ohjelmistotoimittajia varmistamaan sen soveltamalla tietoturvaparannuksia johdonmukaisesti kaikissa tuetuissa ohjelmistoversioissa."

Lausunnossa Microsoft teki selväksi, että he haluaisivat, että kaikki Windows-käyttäjät yksinkertaisesti käyttävät samaa käyttöjärjestelmän versiota, sanoen:

"Windows on sitoutunut tutkimaan ilmoitetut tietoturvaongelmat ja päivittämään niihin vaikuttavat laitteet ennakoivasti mahdollisimman pian. Lisäksi panostamme jatkuvasti syvälliseen puolustukseen ja suosittelemme, että asiakkaat käyttävät Windows 10:tä ja Microsoft Edge -selainta parhaan suojan saavuttamiseksi.

Lähde: Google Project Zero, kautta Winbuzzer.com

Lisää aiheista: google projekti nolla, microsoft, turvallisuus, Windows 10, Windows 7

Surur Davids

Surur Davids Shield

Älypuhelimen asiantuntija

Surur Davids on WMPoweruser-sivuston perustaja, josta myöhemmin tuli MSPoweruser.com. Hän on älypuhelinasiantuntija, jolla on yli vuosikymmenen kokemus.