Google beschuldigt Microsoft van het onthullen van Windows 7-exploits met Windows 10-patches

Home » Microsoft

Pictogram voor leestijd 2 minuut. lezen

Kalender pictogram Bijgewerkt op

by Surur Davids 

bijgewerkt

deel dit artikel

Lezers helpen MSpoweruser ondersteunen. We kunnen een commissie krijgen als u via onze links koopt. Tooltip-pictogram

Lees onze openbaarmakingspagina om erachter te komen hoe u MSPoweruser kunt helpen het redactieteam te ondersteunen Lees meer

Het lijkt erop dat je op sommige dagen gewoon niet kunt winnen. Microsoft is ijverig geweest om Windows 10 bij te werken met bugfixes en verbeteringen, en nu heeft het Project Zero-beveiligingsteam van Google geklaagd dat dit Windows 7 en Windows 8 kwetsbaar maakt voor exploits die door het proces worden onthuld.

Het probleem is te wijten aan het feit dat Windows 7 en Windows 10 dezelfde codebasis delen, maar bugfixes die eerst en snel naar Windows 10 worden uitgerold, en pas later naar Windows 7 en 8, waardoor hackers de code kunnen vergelijken en wijzigingen kunnen detecteren, wat kan onthullen de details van de bug die is opgelost en de kwetsbaarheid in de niet-gefixeerde, oudere versie van het besturingssysteem.

“Microsoft staat bekend om het introduceren van een aantal structurele beveiligingsverbeteringen en soms zelfs voor gewone bugfixes alleen naar het meest recente Windows-platform', zegt Google Project Zero-onderzoeker Mateusz Jurczyk. "Dit creëert een vals gevoel van veiligheid voor gebruikers van de oudere systemen en maakt ze kwetsbaar voor softwarefouten die alleen kunnen worden gedetecteerd door subtiele veranderingen in de bijbehorende code in verschillende versies van Windows."

Jurczyk beweert verschillende zero-day exploits te hebben gevonden met behulp van deze techniek, zoals een niet-geïnitialiseerde onthulling van het kernelgeheugen, die kan worden gebruikt om de kernel-ASLR te omzeilen.

"Dit geldt met name voor bugklassen met voor de hand liggende oplossingen, zoals onthulling van het kernelgeheugen en de toegevoegde memset-aanroepen", merkte hij op.

"We hopen dat dit enkele van de weinige gevallen waren waarin dergelijk 'laaghangend fruit' toegankelijk is voor onderzoekers door middel van verschillen", besluit hij. "En we moedigen softwareleveranciers aan om ervoor te zorgen door consequent beveiligingsverbeteringen toe te passen in alle ondersteunde versies van hun software."

In een verklaring Microsoft maakte duidelijk dat ze liever zouden hebben dat alle Windows-gebruikers gewoon dezelfde versie van het besturingssysteem gebruiken, door te zeggen:

“Windows heeft de verplichting van de klant om gerapporteerde beveiligingsproblemen te onderzoeken en de getroffen apparaten zo snel mogelijk proactief bij te werken. Bovendien investeren we voortdurend in diepgaande beveiliging en raden we klanten aan om Windows 10 en de Microsoft Edge-browser te gebruiken voor de beste bescherming.”

Bron: Google-project nul, via Winbuzzer. com

Meer over de onderwerpen: google project nul, microsoft, veiligheid, Windows 10, Windows 7

Surur Davids

Surur Davids Schild

Smartphone-expert

Surur Davids is de oprichter van WMPoweruser, wat later MSPoweruser.com werd. Hij is een smartphone-expert met meer dan tien jaar ervaring.