Google: Microsoft исправляет ошибки только в Windows 10

Один из исследователей Google Project Zero раскрыл подробности некоторых ошибок Windows, которые он нашел, чтобы показать, что Microsoft должна исправлять ошибки в различных версиях ОС.

Microsoft оставляет ключи для хакеров, когда исправляет ошибки в Windows 10, но оставляет без внимания Windows 7 и 8.1.

Это связано с тем, что хакеры могут использовать технику «бинарной дифференциации» для анализа исправлений в новом продукте и выявления слабых сторон старого продукта.

Эта техника работает в Windows 7, Windows 8 и Windows 10, поскольку они используют один и тот же основной код, но исправлены и улучшены по-разному.

Как поясняет исследователь, возможность использования бинарных различий является проблемой, в частности, для безопасности пользователей Windows 7, на долю которых приходится половина всех пользователей Windows, поскольку злоумышленники знают, что Microsoft исправляет ошибки только в последней версии Windows.

Хорошим примером является ошибка CVE-2017-8680, которая затронула Windows 8.1 и Windows 7, но обошла стороной Windows 10. Project Zero сообщил об этом Microsoft в мае, но исправлена она была только в сентябрьском пакете обновлений.

Узнать другие подробности можно тут.