Nul
Selv om at fokusere på Microsoft og Windows, Google opfordrer alle leverandører til at anvende sikkerhedsrettelser konsekvent på tværs af alle understøttede versioner af deres software.
Billede: ZDNet
Google ‘ s Project Zero forsker Mateusz Jurczyk er gået ind i de blodige detaljer af flere Windows-fejl, han har fundet til at illustrere, at Microsoft skulle lave den samme fejl i Windows 7, som det gør i Windows 10.
Microsoft er væsentlige at efterlade spor for hackere, når det patches Windows-10, men ikke Windows 7, argumenterer Jurczyk.
Det skyldes, at hackere kan bruge en teknik kaldet “binære diffing” til at analysere rettelser i et moderne produkt og identificere svagheder i de ældre produkt.
Teknikken egner sig til Windows 7, Windows 8 og Windows-10, som er et perfekt eksempel på, samtidig understøttes grene af et enkelt produkt, der deler den samme kerne kode, men er blevet repareret og forbedret forskelligt.
Som forsker forklarer, evnen til at bruge binære diffing er et problem, især for sikkerhed i Windows 7-brugere, som tegner sig for halvdelen af alle Windows-brugere, fordi angriberne ved, at Microsoft tilføjer en bedre sikkerhed, og nogle gange endda fejlrettelser kun til den nyeste version af Windows.
“Det skaber en falsk følelse af sikkerhed for brugere af ældre systemer, og gør dem sårbare overfor software fejl, som kan konstateres ved blot at spotte subtile ændringer i den tilsvarende kode i forskellige versioner af Windows,” skriver han.
“Ikke kun det at lade nogle kunder udsat for angreb, men det er også tydeligt afslører, hvad angrebsvektorer er, som arbejder direkte mod brugeren sikkerhed,” Jurczyk fortsætter senere.
Et eksempel var fejl CVE-2017-8680, der ramte Windows 8.1 og Windows 7, men mærkeligt nok ikke Windows 10. Project Zero er blevet rapporteret til Microsoft i Maj, og det blev rettet i Microsoft ‘ s September Patch tirsdag opdatering.
På at opdage fejlen, den forsker, der er identificeret i den relevante programrettelse i Windows 10 og indså, at Microsoft ikke havde tilbageført det til tidligere versioner.
Efter at have kørt flere sammenligninger mellem Windows 7 mod Windows-10 og Windows 8.1 versus Windows 10, fandt han to mere sårbarheder, CVE-2017-8684 og CVE-2017-8685, i Windows 7 og Windows 8.1 kerner. Disse var også lappet i September.
Jurczyk regner de diffing proces, han brugte til at finde disse kerne-spørgsmål, der ikke kræver den store ekspertise eller viden om Vinduer.
“Det kunne have været nemt bruges af ikke-avancerede fjernangribere at identificere de tre nævnte sårbarheder med en meget lille indsats,” skriver han.
“Vi håber, at disse var nogle af de meget få tilfælde af sådan lavthængende frugter er tilgængelige for forskere gennem diffing, og vi opfordrer software leverandører for at sikre, at det ved anvendelse af sikkerhedsmæssige forbedringer konsekvent på tværs af alle understøttede versioner af deres software.”
Tidligere og relaterede dækning
Google ‘ s Project Zero fuzzed top-browsere for fejl: Safari-brugere ikke kan lide de resultater,
Google ‘ s Project Zero udgivelser open-source værktøj, der bruges til at finde nye bugs i store browsere.
Windows-10 sikkerhed: Microsoft tilbyder gratis prøveversion af seneste Defender ATP funktioner
Microsofts nyeste version af Defender Avanceret Trussel Beskyttelse, giver bedre kontrol og større indsigt i sikkerhed begivenheder.
Mere om Windows sikkerhed
Windows-10 tip: Tag kontrol over Microsoft-konto, sikkerhed og beskyttelse af personlige settingsWindows 10 Falder Skabere Opdatering: Hvad er det, der kommer på sikkerhed frontWindows 10: Microsofts nye Insider Preview er pakket med sikkerhed featuresMicrosoft rettelser ‘kritisk’ sikkerhed fejl, som påvirker alle versioner af Windows
0