Google：微软优先给Windows 10修漏洞，让旧版本系统用户陷入危险之中

Google顶级安全团队Project Zero表示，微软对不同版本Windows系统使用不同的修补方式和节奏的做法，正使其广大用户陷入安全风险之中。

Project Zero安全研究员Mateusz Jurczyk通过近期一系列漏洞研究得出这一结论。他发现一枚内核漏洞CVE-2017-8680，只对Windows 7和8.1有效，Windows 10不受影响。深入分析发现，原来微软内部已经悄悄为Windows 10修复了漏洞。

意识到这点后，Mateusz Jurczyk继续对Windows 7、8.1和10最新更新进行分析，对比补丁前后的二进制文件差异。

修复补丁不一致产生新漏洞

Jurczyk随后发现，微软在不同版本系统上针对某些漏洞采取不同的修复方法，引发了新的漏洞，这些漏洞只对特定版本有效。

他列举了CVE-2017-8684和CVE-2017-8685两个新发现的漏洞，因为修复方式不同，它们也只影响Windows 7和8.1。

这两个漏洞都出在Windows GDI+组件上，并于2017年9月的“周二补丁日”修复。

修复补丁不一致会泄漏漏洞点

Jurczyk强调软件开发商应为所有受支持的软件版本提供一致性的安全改进，因为恶意攻击者可能会通过不同版本更新补丁的差异来对比确定，到底是影响所有版本的漏洞，或者只是更新版本里出现的错误。

攻击者可以分析不同的补丁代码来推断漏洞的位置。一旦微软发布更新，攻击者就能对比Windows 7、8.1、10的更新补丁，去找出因为不一致而可能存在问题的点。

研究人员还称，对比补丁和二进制文件差异是一项很简单的操作，所有人都可以做到。有能力的攻击者很容易通过类似方式去识别上述三个漏洞（CVE-2017-8680、CVE-2017-8684、CVE-2017-8685）。

次等公民Windows 7？

因为微软的区别对待，Jurczyk在博客里吐槽：

写这篇博客时，Windows 7在台式机领域仍占据近50%的份额，微软宣传引入了多项重要安全改进，并时常更新修复漏洞。但这只是为旧系统用户营造了一种虚假的安全感，让大家更容易因为软件漏洞受到攻击。

微软公司的发言人告诉The Register，Windows对客户承诺，将调查报告的安全问题，请尽快主动更新受影响的设备。此外，微软将持续对深度防御体系进行投资，建议客户使用Windows 10和Edge浏览器以实现最佳保护。

这段话被记者翻译了下，叫：please, please stop using Windows 7 and 8.

最后更新：2017-10-09 18:41:40