微软默默修复Windows 10安全漏洞,并且往往不立即向Windows 7和8推出相同的更新,从而可能导致数亿台计算机遭入侵。
很多能被利用的漏洞都在Windows 10的大版本更新中被悄悄修复,如周年纪念更新和创作者更新。但是这些重要的更新却非常缓慢地更新到Windows 7和Windows 8平台上。
这一切结论都是Google Project Zero团队的研究人员得出的:漏洞会在Windows 10中被悄悄修复,而以前版本的Windows则不会迅速修复。可怕的是,既然结论已经公开,黑客们也会留意到这一点——Google的员工已经公开发表了。
Google Project Zero研究员Mateusz Jurczyk周四表示:“微软以引进一系列结构性安全性改进而闻名,有时甚至是普通的漏洞修复也仅适用于最新的Windows平台。
举例来说,Jurczyk强调了在内核中使用memset()函数。这个函数的作用是将特定区域内的内存重写为一个特定的值,例如零,从而清除之前存储在内存中的任何内容。
当应用程序告知内核时,内核会通过NtGdiGetGlyphOutline系统调用,填充内存区域,并将其复制到应用程序的内存空间中,操作系统在复制之前不会使用memset()完全覆盖该区域操作。这意味着内核最终会复制到应用程序的内存空间中,覆盖私有内核数据,从而泄露信息。这个漏洞影响巨大,可以了解系统和其他程序的情况,执行可能的攻击。
Windows 10中修复了此信息泄露漏洞,但在Windows 7和Windows 8.1中依然存在,直到Project Zero在今年5月底向Microsoft报告,微软最终在9月发布了Windows 7和8.1系统的修补程序。 Google通常会向包括微软在内的厂商提供90天的时间来解决任何报告的安全漏洞,然后再公布漏洞,迫使厂商修复。
但以前的Windows版本补丁延迟数个月,这就会使得系统容易受到攻击,让黑客更容易看到他们可以利用的漏洞。
Jurczyk解释说:“它不仅会让一些客户暴露在攻击之下,而且还会明显地指明攻击向量,这会直接威胁用户安全。
尽管希望厂商为旧版软件版本无限期是不现实,但Windows用户中仍有大约一半仍在运行Windows 7和8,这意味着数百万用户面临危险。
Windows 8.1应该在2023年1月10日之前收到每月安全补丁,而Windows 7应该在2020年1月14日前接收补丁。
微软公司的一位发言人说:“根据客户承诺Windows会调查已报告的安全问题,并尽快为受影响的设备打补丁。
翻译:别再用Windows 7和8了。
![SiS001! Board - [第一会所 关闭注册]](images/green001/logo.png){kind=logo}
