Google: пользователи Windows 7 и 8.1 подвергаются риску из-за Microsoft

Microsoft ставит пользователей Windows 7 и 8.1 под угрозу, сосредоточившись только на патчах для Windows 10, утверждает Google

Согласно исследователю Google Project Zero Матушу Юрчику, Microsoft сосредоточена только на исправлении уязвимостей в своей текущей операционной системе, Windows 10, и оставила Windows 7 и 8 без внимания, не выпуская для них те же критические обновления безопасности и патчи. В результате сотни миллионов компьютеров, использующих более старые версии, подвержены риску компрометации хакерами.

Юрчик, проводя анализ, обнаружил три различные уязвимости: CVE-2017-8680, CVE-2017-8684 и CVE-2017-8685, которые затрагивали только Windows 7 и 8.1, но не Windows 10. Он смог их найти, потому что Microsoft исправила их в новейшей ОС, но не в старых версиях.

Юрчик использовал технику, называемую «бинарное дифференцирование», где он нашел примеры патчей, которые были применены к Windows 10, но не к Windows 7 или 8.1.

Для тех, кто не знает, бинарное дифференцирование — это мощная техника для реверс-инжиниринга патчей, выпущенных такими поставщиками программного обеспечения, как Microsoft. Особенно анализируя патчи безопасности, можно углубиться в детали уязвимостей, которые они исправляют. Эта техника бинарного дифференцирования особенно полезна для бинарных файлов Microsoft.

Используя бинарное дифференцирование, хакеры могут анализировать уязвимости, исправленные в Windows 10, и эксплуатировать те же самые ошибки безопасности, присутствующие в более ранних версиях Windows, ставя под угрозу их пользователей.

«Microsoft известна тем, что вводит ряд структурных улучшений безопасности и иногда даже обычные исправления ошибок только для самой последней платформы Windows. Это создает ложное чувство безопасности для пользователей старых систем и оставляет их уязвимыми для программных недостатков, которые можно обнаружить, просто заметив тонкие изменения в соответствующем коде в разных версиях Windows», — объясняет Юрчик.

«Это не только оставляет некоторых клиентов подверженными атакам, но также явно показывает, какие векторы атак существуют, что работает прямо против безопасности пользователей. Это особенно верно для классов ошибок с очевидными исправлениями, таких как раскрытие памяти ядра и добавленные вызовы memset.»

К счастью, все три упомянутые выше уязвимости были исправлены Microsoft в прошлом месяце после уведомления Project Zero в конце мая этого года.

Microsoft также ясно дала понять в заявлении для The Register, что предпочла бы, чтобы все пользователи Windows использовали одну и ту же версию ОС. Компания заявила:

«Windows имеет обязательство перед клиентами расследовать сообщенные проблемы безопасности и проактивно обновлять затронутые устройства как можно скорее. Кроме того, мы постоянно инвестируем в безопасность с глубокой защитой и рекомендуем клиентам использовать Windows 10 и браузер Microsoft Edge для наилучшей защиты.»

В настоящее время Microsoft поддерживает предыдущие версии ОС, Windows 7, 8.1 наряду с Windows 10. В то время как Windows 7 должна получать ежемесячные исправления безопасности от Microsoft до 14 января 2020 года, Windows 8.1 должна получать их до 10 января 2023 года.

Вы можете ознакомиться с подробным анализом Юрчика, кликнув здесь.