Nul
Hoewel de focus op Microsoft en Windows, Google moedigt alle leveranciers toepassen van security patches consistent over alle ondersteunde versies van hun software.
Afbeelding: ZDNet
Google ‘ s Project Zero onderzoeker Mateusz Jurczyk is gegaan in de bloederige details van de verschillende Windows bugs vond hij te illustreren voor Microsoft fix dezelfde bugs in Windows 7 als Windows 10.
Microsoft is in wezen het verlaten van aanwijzingen voor hackers als het Windows patches 10, maar niet in Windows 7, betoogt Jurczyk.
Dat komt omdat hackers kunnen gebruik maken van een techniek genaamd ‘binaire vergelijk’ te analyseren correcties in een modern product en lokaliseren van zwakke punten in het oudere product.
De techniek leent zich uitstekend voor Windows 7, Windows 8 en Windows-10, die zijn een perfect voorbeeld van gelijktijdig ondersteund takken van een enkel product dat delen dezelfde core code, maar worden hersteld en verbeterd anders.
Als de onderzoeker legt, de mogelijkheid tot het gebruik van binaire vergelijk is een probleem in het bijzonder voor de veiligheid van de gebruikers van Windows 7, die voor ongeveer de helft van alle Windows-gebruikers, omdat de aanvallers weten dat Microsoft voegt een betere beveiliging en soms zelfs bug fixes alleen naar de nieuwste versie van Windows.
“Dit creëert een vals gevoel van veiligheid voor de gebruikers van de oudere systemen, en maakt hen kwetsbaar voor software fouten die gedetecteerd kunnen worden, enkel en alleen door het spotten van subtiele veranderingen in de bijbehorende code in de verschillende versies van Windows,” schrijft hij.
“Het laat niet alleen een aantal klanten blootgesteld aan aanvallen, maar het is ook zichtbaar laat zien wat de zwakke plekken zijn, die werkt direct tegen het gebied van de beveiliging,” Jurczyk blijft later.
Een voorbeeld was de bug CVE-2017-8680, die getroffen Windows 8.1 en Windows 7, maar vreemd genoeg niet in Windows 10. Project Zero gerapporteerd aan Microsoft in Mei en het was opgelost in Microsoft September Patch Tuesday update.
Op het ontdekken van de fout, de onderzoeker constateerde dat de betreffende patch in Windows 10 en realiseerde zich dat Microsoft niet had teruggeplaatst naar eerdere versies.
Na het uitvoeren van meer vergelijkingen tussen Windows 7 versus Windows-10 en Windows 8.1 versus Windows-10, vond hij twee kwetsbaarheden (CVE-2017-8684 en CVE-2017-8685, in het Windows 7 en Windows 8.1-kernels. Deze waren ook gepatched in September.
Jurczyk, schat de vergelijk proces gebruikte hij om deze kernel zou niet vereisen veel kennis of kennis van Windows.
“Het had makkelijk gebruikt door niet-geavanceerde aanvallers te identificeren van de drie genoemde kwetsbaarheden met zeer weinig inspanning,” schrijft hij.
“We hopen dat dit waren enkele van de zeer weinige exemplaren van dergelijke low-hanging fruit dat het toegankelijk is voor onderzoekers via vergelijk en wij raden de software leveranciers om er zeker van door het toepassen van verbeteringen van de beveiliging consistent over alle ondersteunde versies van hun software.”
Vorige en aanverwante dekking
Google ‘ s Project Zero fuzzed top browsers voor bugs: Safari-gebruikers zal het niet van de resultaten
Google ‘ s Project Zero brengt de open-source tool voor het vinden van nieuwe bugs in de belangrijkste browsers.
Windows-10 security: Microsoft biedt een gratis trial van de laatste Verdediger ATP-functies
Microsoft ‘ s nieuwste versie van de Defender Geavanceerde Bescherming tegen bedreigingen biedt betere besturing en meer inzicht in de beveiliging van evenementen.
Meer over Windows-beveiliging
Windows 10 tip: Neem controle van Microsoft-account security en privacy settingsWindows 10 Vallen Makers Update: Wat komt op de veiligheid frontWindows 10: Microsoft ‘ s nieuwe Insider Voorbeeld is verpakt met zekerheid featuresMicrosoft correcties ‘kritische’ security bugs van invloed zijn op alle versies van Windows
0