谷歌指責微軟通過 Windows 7 補丁揭示了 Windows 10 漏洞

似乎有些日子你就是贏不了。 微軟一直在努力通過錯誤修復和改進來更新 Windows 10，現在谷歌的零項目安全團隊抱怨這使得 Windows 7 和 Windows 8 容易受到該過程所揭示的漏洞的攻擊。

問題是由於 Windows 7 和 Windows 10 共享相同的代碼庫，但錯誤修復首先快速推出到 Windows 10，然後才推出到 Windows 7 和 8，允許黑客比較代碼並檢測更改，這可以揭示修復的錯誤的細節以及未修復的舊版本操作系統中的漏洞。

“微軟以引入許多結構性安全改進而聞名，有時甚至是普通的錯誤修復 僅適用於最新的 Windows 平台，”谷歌零項目研究員 Mateusz Jurczyk 說。 “這給舊系統的用戶帶來了一種錯誤的安全感，使他們容易受到軟件缺陷的影響，這些缺陷可以通過在不同版本的 Windows 中發現相應代碼的細微變化來檢測。”

Jurczyk 聲稱使用這種技術發現了幾個零日漏洞，例如未初始化的內核內存洩露，可用於繞過內核 ASLR。

“對於具有明顯修復的錯誤類尤其如此，例如內核內存洩露和添加的 memset 調用，”他指出。

他總結道：“我們希望這些是研究人員可以通過差異獲得的極少數這樣的‘低懸的果實’實例中的一些。” “我們鼓勵軟件供應商通過在所有受支持的軟件版本中一致地應用安全改進來確保這一點。”

在一份聲明中 微軟明確表示，他們希望所有 Windows 用戶都使用相同版本的操作系統，並表示：

“Windows 有一項客戶承諾，即調查報告的安全問題，並儘快主動更新受影響的設備。 此外，我們不斷投資於縱深防禦安全，並建議客戶使用 Windows 10 和 Microsoft Edge 瀏覽器以獲得最佳保護。”

資源： 谷歌零項目， 通過 Winbuzzer.com