Google：微軟優先給Windows 10修漏洞，讓舊版本係統用戶陷入危險之中

Google頂級安全團隊Project Zero表示，微軟對不同版本Windows係統使用不同的修補方式和節奏的做法，正使其廣大用戶陷入安全風險之中。

Project Zero安全研究員Mateusz Jurczyk通過近期一係列漏洞研究得出這一結論。他發現一枚內核漏洞CVE-2017-8680，隻對Windows 7和8.1有效，Windows 10不受影響。深入分析發現，原來微軟內部已經悄悄為Windows 10修複了漏洞。

意識到這點後，Mateusz Jurczyk繼續對Windows 7、8.1和10最新更新進行分析，對比補丁前後的二進製文件差異。

修複補丁不一致產生新漏洞

Jurczyk隨後發現，微軟在不同版本係統上針對某些漏洞采取不同的修複方法，引發了新的漏洞，這些漏洞隻對特定版本有效。

他列舉了CVE-2017-8684和CVE-2017-8685兩個新發現的漏洞，因為修複方式不同，它們也隻影響Windows 7和8.1。

這兩個漏洞都出在Windows GDI+組件上，並於2017年9月的“周二補丁日”修複。

修複補丁不一致會泄漏漏洞點

Jurczyk強調軟件開發商應為所有受支持的軟件版本提供一致性的安全改進，因為惡意攻擊者可能會通過不同版本更新補丁的差異來對比確定，到底是影響所有版本的漏洞，或者隻是更新版本裏出現的錯誤。

攻擊者可以分析不同的補丁代碼來推斷漏洞的位置。一旦微軟發布更新，攻擊者就能對比Windows 7、8.1、10的更新補丁，去找出因為不一致而可能存在問題的點。

研究人員還稱，對比補丁和二進製文件差異是一項很簡單的操作，所有人都可以做到。有能力的攻擊者很容易通過類似方式去識別上述三個漏洞（CVE-2017-8680、CVE-2017-8684、CVE-2017-8685）。

次等公民Windows 7？

因為微軟的區別對待，Jurczyk在博客裏吐槽：

寫這篇博客時，Windows 7在台式機領域仍占據近50%的份額，微軟宣傳引入了多項重要安全改進，並時常更新修複漏洞。但這隻是為舊係統用戶營造了一種虛假的安全感，讓大家更容易因為軟件漏洞受到攻擊。

微軟公司的發言人告訴The Register，Windows對客戶承諾，將調查報告的安全問題，請盡快主動更新受影響的設備。此外，微軟將持續對深度防禦體係進行投資，建議客戶使用Windows 10和Edge瀏覽器以實現最佳保護。

這段話被記者翻譯了下，叫：please, please stop using Windows 7 and 8.

最後更新：2017-10-09 18:41:40