谷歌指责微软通过 Windows 7 补丁揭示了 Windows 10 漏洞

似乎有些日子你就是赢不了。 微软一直在努力通过错误修复和改进来更新 Windows 10，现在谷歌的零项目安全团队抱怨这使得 Windows 7 和 Windows 8 容易受到该过程所揭示的漏洞的攻击。

问题是由于 Windows 7 和 Windows 10 共享相同的代码库，但错误修复首先快速推出到 Windows 10，然后才推出到 Windows 7 和 8，允许黑客比较代码并检测更改，这可以揭示修复的错误的细节以及未修复的旧版本操作系统中的漏洞。

“微软以引入许多结构性安全改进而闻名，有时甚至是普通的错误修复 仅适用于最新的 Windows 平台，”谷歌零项目研究员 Mateusz Jurczyk 说。 “这给旧系统的用户带来了一种错误的安全感，使他们容易受到软件缺陷的影响，这些缺陷可以通过在不同版本的 Windows 中发现相应代码的细微变化来检测。”

Jurczyk 声称使用这种技术发现了几个零日漏洞，例如未初始化的内核内存泄露，可用于绕过内核 ASLR。

“对于具有明显修复的错误类尤其如此，例如内核内存泄露和添加的 memset 调用，”他指出。

他总结道：“我们希望这些是研究人员可以通过差异获得的极少数这样的‘低悬的果实’实例中的一些。” “我们鼓励软件供应商通过在所有受支持的软件版本中一致地应用安全改进来确保这一点。”

在一份声明中 微软明确表示，他们希望所有 Windows 用户都使用相同版本的操作系统，并表示：

“Windows 有一项客户承诺，即调查报告的安全问题，并尽快主动更新受影响的设备。 此外，我们不断投资于纵深防御安全，并建议客户使用 Windows 10 和 Microsoft Edge 浏览器以获得最佳保护。”

Sumber: 谷歌零项目， 通过 Winbuzzer.com