Google กล่าวหา Microsoft เปิดเผยช่องโหว่ของ Windows 7 ด้วยแพตช์ Windows 10
2 นาที. อ่าน
อัปเดตเมื่อวันที่
อ่านหน้าการเปิดเผยข้อมูลของเราเพื่อดูว่าคุณจะช่วย MSPoweruser รักษาทีมบรรณาธิการได้อย่างไร อ่านเพิ่มเติม
ดูเหมือนว่าบางวันคุณไม่สามารถชนะได้ Microsoft ขยันขันแข็งในการอัปเดต Windows 10 ด้วยการแก้ไขข้อผิดพลาดและการปรับปรุง และตอนนี้ทีมรักษาความปลอดภัย Project Zero ของ Google ได้ร้องเรียนว่าสิ่งนี้ทำให้ Windows 7 และ Windows 8 เสี่ยงต่อการถูกโจมตีโดยกระบวนการ
ปัญหานี้เกิดจากการที่ Windows 7 และ Windows 10 ใช้รหัสฐานร่วมกัน แต่มีการแก้ไขจุดบกพร่องใน Windows 10 ก่อนและรวดเร็ว และเฉพาะใน Windows 7 และ 8 เท่านั้น ทำให้แฮกเกอร์สามารถเปรียบเทียบรหัสและตรวจจับการเปลี่ยนแปลงได้ ซึ่งสามารถทำได้ เปิดเผยข้อมูลเฉพาะของจุดบกพร่องที่แก้ไขแล้วและช่องโหว่ในระบบปฏิบัติการเวอร์ชันเก่าที่ไม่ได้รับการแก้ไข
“Microsoft เป็นที่รู้จักจากการแนะนำการปรับปรุงความปลอดภัยเชิงโครงสร้างจำนวนหนึ่ง และบางครั้งแม้แต่การแก้ไขข้อผิดพลาดทั่วไป” เฉพาะกับแพลตฟอร์ม Windows ล่าสุดเท่านั้น” Mateusz Jurczyk นักวิจัยของ Google Project Zero กล่าว “สิ่งนี้สร้างความรู้สึกผิด ๆ ในเรื่องความปลอดภัยสำหรับผู้ใช้ระบบเก่า และทำให้พวกเขาเสี่ยงต่อข้อบกพร่องของซอฟต์แวร์ ซึ่งสามารถตรวจพบได้โดยการระบุการเปลี่ยนแปลงเล็กน้อยในรหัสที่เกี่ยวข้องใน Windows รุ่นต่างๆ”
Jurczyk อ้างว่าได้พบช่องโหว่ซีโร่เดย์หลายครั้งโดยใช้เทคนิคนี้ เช่น การเปิดเผยหน่วยความจำเคอร์เนลที่ยังไม่ได้กำหนดค่า ซึ่งสามารถใช้เพื่อเลี่ยงผ่าน ASLR ของเคอร์เนลได้
“นี่เป็นเรื่องจริงโดยเฉพาะอย่างยิ่งสำหรับคลาสบั๊กที่มีการแก้ไขที่ชัดเจน เช่น การเปิดเผยหน่วยความจำเคอร์เนลและการเรียก memset ที่เพิ่มเข้ามา” เขากล่าว
“เราหวังว่าสิ่งเหล่านี้จะเป็นเพียงตัวอย่างไม่กี่อย่างของ 'ผลไม้ห้อยต่ำ' ที่นักวิจัยสามารถเข้าถึงได้ผ่านการแยกแยะ” เขากล่าวสรุป “และเราสนับสนุนให้ผู้จำหน่ายซอฟต์แวร์ตรวจสอบให้แน่ใจโดยใช้การปรับปรุงความปลอดภัยอย่างสม่ำเสมอในทุกเวอร์ชันของซอฟต์แวร์ที่รองรับ”
ในงบ Microsoft ชี้แจงอย่างชัดเจนว่าพวกเขาต้องการให้ผู้ใช้ Windows ทั้งหมดใช้ระบบปฏิบัติการเวอร์ชันเดียวกันโดยกล่าวว่า:
“Windows มีความมุ่งมั่นของลูกค้าในการตรวจสอบปัญหาด้านความปลอดภัยที่ได้รับรายงาน และอัปเดตอุปกรณ์ที่ได้รับผลกระทบในเชิงรุกโดยเร็วที่สุด นอกจากนี้ เราลงทุนอย่างต่อเนื่องในการรักษาความปลอดภัยเชิงลึกในการป้องกัน และแนะนำให้ลูกค้าใช้ Windows 10 และเบราว์เซอร์ Microsoft Edge เพื่อการป้องกันที่ดีที่สุด”
ที่มา: Google โครงการศูนย์, ผ่านทาง วินบัซเซอร์.คอม