Google obtožuje Microsoft, da je s popravki za Windows 7 razkril zlorabe sistema Windows 10

Domov » Microsoft

Ikona časa branja 2 min. prebrati

Ikona koledarja Posodobljeno dne

by Surur Davids 

posodobljeno dne

Dajte v skupno rabo ta članek

Bralci pomagajo pri podpori MSpoweruser. Če kupujete prek naših povezav, lahko prejmemo provizijo. Ikona opisa orodja

Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več

Zdi se, da nekaj dni enostavno ne moreš zmagati. Microsoft je marljivo posodabljal Windows 10 s popravki napak in izboljšavami, zdaj pa se je Googlova varnostna ekipa Project Zero pritožila, da sta Windows 7 in Windows 8 zaradi tega ranljiva za izkoriščanja, ki jih razkrije postopek.

Težava je posledica tega, da si Windows 7 in Windows 10 delita isto bazo kode, vendar so popravki napak najprej in hitro uvedeni v Windows 10 in šele pozneje v Windows 7 in 8, kar hekerjem omogoča primerjavo kode in zaznavanje sprememb, ki lahko razkrivajo posebnosti odpravljene napake in ranljivosti v nepopravljeni, starejši različici operacijskega sistema.

»Microsoft je znan po uvajanju številnih strukturnih varnostnih izboljšav in včasih celo po običajnih popravkih napak. samo za najnovejšo platformo Windows,« je povedal Mateusz Jurczyk, raziskovalec Google Project Zero. "To ustvarja lažen občutek varnosti za uporabnike starejših sistemov in jih pušča ranljive za napake v programski opremi, ki jih je mogoče zaznati zgolj z opazovanjem subtilnih sprememb v ustrezni kodi v različnih različicah sistema Windows."

Jurczyk trdi, da je s to tehniko našel več izkoriščanj ničelnega dne, kot je neinicializirano razkritje pomnilnika jedra, ki ga je mogoče uporabiti za obhod ASLR jedra.

"To še posebej velja za razrede napak z očitnimi popravki, kot je razkritje pomnilnika jedra in dodani klici memset," je opozoril.

»Upamo, da so bili to eni izmed zelo redkih primerov takšnega 'nizko visečega sadja', ki je bil dostopen raziskovalcem prek diffinga,« zaključuje. "Prodajalce programske opreme spodbujamo, da se za to prepričajo z dosledno uporabo varnostnih izboljšav v vseh podprtih različicah svoje programske opreme."

V izjavi Microsoft je jasno povedal, da bi raje, da bi vsi uporabniki sistema Windows preprosto uporabljali isto različico operacijskega sistema, in rekel:

»Windows ima stranko zavezo, da razišče poročane varnostne težave in čim prej proaktivno posodobi prizadete naprave. Poleg tega nenehno vlagamo v poglobljeno zaščito in strankam priporočamo uporabo Windows 10 in brskalnika Microsoft Edge za najboljšo zaščito.«

vir: Google Project Zero, preko Winbuzzer.com

Več o temah: google projekt nič, microsoft, varnost, Windows 10, Windows 7

Surur Davids

Surur Davids Shield

Strokovnjak za pametne telefone

Surur Davids je ustanovitelj WMPoweruser, ki je kasneje postal MSPoweruser.com. Je strokovnjak za pametne telefone z več kot desetletnimi izkušnjami.