Google obviňuje Microsoft z odhalenia exploitov Windowsu 7 s opravami Windowsu 10
2 min. čítať
Aktualizované na
Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac
Zdá sa, že niektoré dni jednoducho nemôžete vyhrať. Spoločnosť Microsoft usilovne aktualizovala systém Windows 10 pomocou opráv chýb a vylepšení a bezpečnostný tím spoločnosti Google Project Zero sa teraz sťažoval, že Windows 7 a Windows 8 sú zraniteľné voči zneužitiam odhaleným týmto procesom.
Problém je spôsobený tým, že Windows 7 a Windows 10 zdieľajú rovnakú kódovú základňu, ale opravy chýb sa najskôr a rýchlo zavádzajú do systému Windows 10 a až neskôr do systému Windows 7 a 8, čo umožňuje hackerom porovnávať kód a zisťovať zmeny, ktoré môžu odhaliť špecifiká opravenej chyby a zraniteľnosti v neopravenej staršej verzii OS.
„Microsoft je známy tým, že zavádza množstvo štrukturálnych bezpečnostných vylepšení a niekedy dokonca aj bežné opravy chýb iba na najnovšiu platformu Windows“, povedal Mateusz Jurczyk, výskumník projektu Google Project Zero. "To vytvára falošný pocit bezpečia pre používateľov starších systémov a ponecháva ich zraniteľné voči softvérovým chybám, ktoré je možné odhaliť len pozorovaním jemných zmien v zodpovedajúcom kóde v rôznych verziách Windows."
Jurczyk tvrdí, že pomocou tejto techniky našiel niekoľko zero-day exploitov, ako napríklad neinicializované odhalenie pamäte jadra, ktoré možno použiť na obídenie ASLR jadra.
"To platí najmä pre triedy chýb so zjavnými opravami, ako je odhalenie pamäte jadra a pridané volania memset," poznamenal.
"Dúfame, že to boli niektoré z mála prípadov, kedy je takéto "nízko visiace ovocie" dostupné pre výskumníkov prostredníctvom diffingu," uzatvára. „A povzbudzujeme dodávateľov softvéru, aby sa o to uistili dôsledným uplatňovaním bezpečnostných vylepšení vo všetkých podporovaných verziách ich softvéru.“
V vyhlásení Spoločnosť Microsoft dala jasne najavo, že by uprednostnila, aby všetci používatelia systému Windows jednoducho používali rovnakú verziu operačného systému:
„Windows sa zaviazal zákazníka vyšetriť nahlásené problémy so zabezpečením a čo najskôr proaktívne aktualizovať dotknuté zariadenia. Okrem toho neustále investujeme do hĺbkovej ochrany a zákazníkom odporúčame používať Windows 10 a prehliadač Microsoft Edge na najlepšiu ochranu.“
zdroj: Google Project Zero, via Winbuzzer.com