Google: Windows 7と8.1ユーザーはMicrosoftによって危険にさらされています

MicrosoftはWindows 7と8.1ユーザーを危険にさらしているとGoogleが主張

GoogleのProject Zero研究者Mateusz Jurczykによると、Microsoftは現在のオペレーティングシステムであるWindows 10の脆弱性の修正にのみ焦点を当てており、Windows 7と8を冷遇して同じ重要なセキュリティ更新やパッチを提供していません。その結果、古いバージョンを使用している数億台のコンピュータがハッカーによって侵害されるリスクにさらされています。

Jurczykは分析を行う中で、Windows 7と8.1にのみ影響を与え、Windows 10には影響を与えない3つの異なる脆弱性、CVE-2017-8680、CVE-2017-8684、およびCVE-2017-8685を発見しました。彼は、Microsoftが最新のOSでパッチを適用したが、古いバージョンには適用しなかったため、これらを見つけることができました。

Jurczykは「バイナリディフ」技術を使用し、Windows 10に適用されたパッチの例を見つけましたが、Windows 7や8.1には適用されていませんでした。

知らない方のために、バイナリディフは、Microsoftのようなソフトウェアベンダーがリリースしたパッチをリバースエンジニアリングするための強力な技術です。特にセキュリティパッチを分析することで、修正されている脆弱性の詳細を掘り下げることができます。このバイナリディフ技術は、Microsoftのバイナリに特に役立ちます。

バイナリディフを使用することで、ハッカーはWindows 10で修正された脆弱性を分析し、以前のバージョンのWindowsに存在する同じセキュリティバグを悪用し、ユーザーを危険にさらすことができます。

「Microsoftは、最近のWindowsプラットフォームにのみ、構造的なセキュリティ改善や時には通常のバグ修正を導入することで知られています。これにより、古いシステムのユーザーに誤った安全感を与え、異なるバージョンのWindowsの対応するコードの微妙な変化を見つけるだけで検出できるソフトウェアの欠陥に対して脆弱にします」とJurczykは説明します。

「これは、一部の顧客を攻撃にさらすだけでなく、攻撃ベクトルが何であるかを明らかにし、ユーザーのセキュリティに直接逆行します。これは、カーネルメモリの漏洩や追加のmemset呼び出しのような明らかな修正を持つバグクラスに特に当てはまります。」

幸いなことに、上記の3つの異なる脆弱性は、今年の5月末にProject Zeroから通知を受けた後、先月Microsoftによって修正されました。

Microsoftはまた、The Registerへの声明で、すべてのWindowsユーザーが同じバージョンのOSを使用することを好むと明言しました。同社は次のように述べています。

「Windowsは報告されたセキュリティ問題を調査し、影響を受けたデバイスをできるだけ早く積極的に更新するという顧客へのコミットメントがあります。さらに、私たちは防御の深さに投資し続けており、顧客には最良の保護のためにWindows 10とMicrosoft Edgeブラウザの使用を推奨しています。」

現在、MicrosoftはWindows 10とともに、以前のOSバージョンであるWindows 7、8.1をサポートしています。Windows 7は2020年1月14日までMicrosoftから月次セキュリティ修正を受け取ることになっており、Windows 8.1は2023年1月10日まで受け取ることになっています。

Jurczykの詳細な分析は、こちらをクリックして確認できます。