Google cáo buộc Microsoft tiết lộ việc khai thác Windows 7 với các bản vá lỗi Windows 10

Biểu tượng thời gian đọc 2 phút đọc

Biểu tượng lịch Cập nhật vào 8 Tháng Mười

cập nhật trên 8 Tháng Mười

Bạn đọc giúp đỡ ủng hộ MSpoweruser. Chúng tôi có thể nhận được hoa hồng nếu bạn mua thông qua các liên kết của chúng tôi.

Có vẻ như một số ngày bạn không thể giành chiến thắng. Microsoft đã rất chăm chỉ cập nhật Windows 10 với các bản sửa lỗi và cải tiến, và giờ đây nhóm bảo mật Project Zero của Google đã phàn nàn rằng điều này khiến Windows 7 và Windows 8 dễ bị khai thác trong quá trình này.

Vấn đề là do Windows 7 và Windows 10 chia sẻ cùng một cơ sở mã, nhưng các bản sửa lỗi được triển khai cho Windows 10 trước tiên và nhanh chóng, và chỉ sau đó cho Windows 7 và 8, cho phép tin tặc so sánh mã và phát hiện các thay đổi, có thể tiết lộ chi tiết cụ thể của lỗi đã được sửa và lỗ hổng trong phiên bản hệ điều hành cũ hơn, chưa được sửa chữa.

“Microsoft được biết đến với việc giới thiệu một số cải tiến bảo mật cấu trúc và đôi khi là cả các bản sửa lỗi thông thường chỉ với nền tảng Windows mới nhất, Nhà nghiên cứu Mateusz Jurczyk của Google Project Zero cho biết. “Điều này tạo ra cảm giác an toàn sai lầm cho người dùng các hệ thống cũ hơn và khiến họ dễ bị các lỗi phần mềm có thể được phát hiện chỉ bằng cách phát hiện những thay đổi tinh vi trong mã tương ứng trong các phiên bản Windows khác nhau.”

Jurczyk tuyên bố đã tìm thấy một số khai thác zero-day bằng cách sử dụng kỹ thuật này, chẳng hạn như tiết lộ bộ nhớ hạt nhân chưa được khởi tạo, có thể được sử dụng để bỏ qua ASLR của hạt nhân.

“Điều này đặc biệt đúng đối với các lớp lỗi với các bản sửa lỗi rõ ràng, chẳng hạn như tiết lộ bộ nhớ hạt nhân và các lệnh gọi memset được bổ sung,” ông lưu ý.

Ông kết luận: “Chúng tôi hy vọng rằng đây là một số trong số rất ít các trường hợp 'quả treo thấp' như vậy có thể tiếp cận được với các nhà nghiên cứu thông qua sự khác biệt. “Và chúng tôi khuyến khích các nhà cung cấp phần mềm đảm bảo điều đó bằng cách áp dụng các cải tiến bảo mật một cách nhất quán trên tất cả các phiên bản phần mềm được hỗ trợ của họ.”

Trong một tuyên bố Microsoft đã nói rõ rằng họ muốn tất cả người dùng Windows chỉ cần sử dụng cùng một phiên bản hệ điều hành, nói rằng:

“Windows có cam kết với khách hàng trong việc điều tra các vấn đề bảo mật được báo cáo và chủ động cập nhật các thiết bị bị ảnh hưởng càng sớm càng tốt. Ngoài ra, chúng tôi liên tục đầu tư vào bảo mật chuyên sâu về quốc phòng và khuyến nghị khách hàng sử dụng Windows 10 và trình duyệt Microsoft Edge để được bảo vệ tốt nhất. ”

nguồn: Dự án Google Không, thông qua Winbuzzer.com

Thông tin thêm về các chủ đề: dự án google số XNUMX, microsoft, an ninh, 10 cửa sổ, 7 cửa sổ

Surur Davids

Chuyên gia điện thoại thông minh

Surur Davids là người sáng lập WMPoweruser mà sau này trở thành MSPoweruser.com. Anh ấy là một chuyên gia về điện thoại thông minh với hơn một thập kỷ kinh nghiệm.