Google : Les utilisateurs de Windows 7 et 8.1 sont mis en danger par Microsoft

Microsoft met en danger les utilisateurs de Windows 7 et 8.1 en ne corrigeant que Windows 10, affirme Google

Selon le chercheur de Project Zero de Google, Mateusz Jurczyk, Microsoft se concentre uniquement sur la correction des vulnérabilités dans son système d’exploitation actuel, Windows 10, et a laissé Windows 7 et 8 à l’abandon en ne déployant pas les mêmes mises à jour de sécurité critiques et correctifs pour eux. En conséquence, des centaines de millions d’ordinateurs utilisant les anciennes versions sont à risque d’être compromis par des hackers.

Jurczyk, en effectuant certaines analyses, a trouvé trois vulnérabilités différentes : CVE-2017-8680, CVE-2017-8684 et CVE-2017-8685, qui n’affectaient que Windows 7 et 8.1 et non Windows 10. Il a pu les identifier parce que Microsoft les a corrigées sur le dernier OS, mais pas sur les versions plus anciennes.

Jurczyk a utilisé une technique appelée « binary diffing » où il a trouvé des exemples de correctifs qui avaient été appliqués à Windows 10, mais pas à Windows 7 ou 8.1.

Pour ceux qui ne le savent pas, le binary diffing est une technique puissante pour rétroconcevoir les correctifs publiés par des fournisseurs de logiciels comme Microsoft. En particulier, en analysant les correctifs de sécurité, vous pouvez plonger dans les détails des vulnérabilités qu’il corrige. Cette technique de binary diffing est particulièrement utile pour les binaires de Microsoft.

En utilisant le binary diffing, les hackers peuvent analyser les vulnérabilités corrigées dans Windows 10 et exploiter les mêmes bugs de sécurité présents dans les versions antérieures de Windows et mettre ses utilisateurs en danger.

« Microsoft est connu pour introduire un certain nombre d’améliorations structurelles de sécurité et parfois même des corrections de bogues ordinaires uniquement sur la plateforme Windows la plus récente. Cela crée un faux sentiment de sécurité pour les utilisateurs des anciens systèmes et les laisse vulnérables aux défauts logiciels qui peuvent être détectés simplement en repérant des changements subtils dans le code correspondant dans différentes versions de Windows », explique Jurczyk.

« Non seulement cela laisse certains clients exposés aux attaques, mais cela révèle également visiblement quels sont les vecteurs d’attaque, ce qui va directement à l’encontre de la sécurité des utilisateurs. C’est particulièrement vrai pour les classes de bogues avec des corrections évidentes, telles que la divulgation de mémoire du noyau et les appels memset ajoutés. »

Heureusement, les trois vulnérabilités différentes mentionnées ci-dessus ont été corrigées par Microsoft le mois dernier après avoir été notifiées par Project Zero à la fin mai de cette année.

Microsoft a également précisé dans une déclaration à The Register qu’il préférait que tous les utilisateurs de Windows utilisent la même version de l’OS. La société a déclaré :

« Windows a un engagement envers ses clients pour enquêter sur les problèmes de sécurité signalés et mettre à jour proactivement les appareils concernés dès que possible. De plus, nous investissons continuellement dans la sécurité en profondeur et recommandons aux clients d’utiliser Windows 10 et le navigateur Microsoft Edge pour la meilleure protection. »

Actuellement, Microsoft prend en charge les versions précédentes de l’OS, Windows 7, 8.1 ainsi que Windows 10. Alors que Windows 7 est censé recevoir des correctifs de sécurité mensuels de Microsoft jusqu’au 14 janvier 2020, Windows 8.1 est censé les recevoir jusqu’au 10 janvier 2023.

Vous pouvez consulter l’analyse détaillée de Juryzyk en cliquant ici.