Исследователь безопасности Матеуш Юрчик (Mateusz Jurczyk) из компании Google сообщил подробности о политике Microsoft в отношении исправления уязвимостей в ОС Windows. Компания нередко выпускает патчи только для Windows 10, пренебрегая пользователями более старых версий операционной системы.
Фактически, устраняя уязвимости в Windows 10 и игнорируя Windows 7, Microsoft оставляет хакерам подсказки. Как пояснил исследователь, используя метод сравнения файлов (binary diffing), злоумышленники могут проанализировать исправления в более современном продукте и на основе полученной информации выявить уязвимости в устаревшей версии ПО. Данная технология применима к Windows 7, Windows 8 и Windows 10, которые являются примером одновременно поддерживаемых версий одного продукта, использующих один и тот же основной код, но исправленных и усовершенствованных по-разному.
Как поясняет исследователь, использование метода сравнения файлов опасно в первую очередь для пользователей Windows 7, доля которых составляет половину всей аудитории Windows, так как злоумышленникам известно, что Microsoft улучшает безопасность и в некоторых случаях выпускает патчи только для последних версий операционной системы.
Таким образом у пользователей более старых версий системы создается ложное чувство безопасности, что делает их уязвимыми к недостаткам программного обеспечения, которые могут быть обнаружены путем простого сравнения мелких изменений в коде, отметил Юрчик.
В качестве примера эксперт привел уязвимость CVE-2017-8680, затронувшую Windows 8.1 и Windows 7, но не Windows 10. Команда Google Project Zero уведомила Microsoft о данной уязвимости в мае и патч для нее был выпущен в сентябре нынешнего года. Кроме того, исследователь выявил, что Microsoft подготовила патч для Windows 10, но не портировала его на более ранние версии ОС. В ходе сравнительного анализа Windows 7/Windows 10 и Windows 8.1/Windows 10 исследователь обнаружил еще две уязвимости — CVE-2017-8684 и CVE-2017-8685, присутствовавшие в ядрах Windows 7 и Windows 8.1. Патчи, устраняющие обе проблемы, были выпущены в сентябре нынешнего года.
По словам Юрчика, даже непрофессиональный атакующий, не владеющий специальными знаниями об операционной системе, может воспользоваться методом сравнения файлов для выявления уязвимостей и их дальнейшей эксплуатации.

Источник: securitylab.ru