Специалисты команда безопасности Google заявили, что Microsoft ставит клиентов под угрозу, не выпуская однородные патчи для всех версий ОС Windows.
Один из исследователей пришел к такому выводу после того, как обнаружил уязвимости CVE-2017-8680, затронувшей только Windows 7 и 8.1. Более глубокий анализ показал, что Microsoft не внедрила исправление в другие версии ОС.
Впоследствии было обнаружено, что патчи, устраняющие некоторые уязвимости, были применены по-разному к каждой версии ОС от Microsoft, что приводит к появлению новых ошибок.
Таким образом, исследователь нашел CVE-2017-8684 и CVE-2017-8685, две уязвимости, затрагивающие только Windows 7 и Windows 8.1, что стало результатом подобного подхода к исправлениям уязвимостей. Обе эти бреши затрагивали компонент Windows GDI+.
Основной целью специалиста было доказать, что «различия в отношении к безопасности параллельно поддерживаемых версий одного продукта могут использоваться злоумышленниками для выявления значительных недостатков или просто регулярных ошибок».
Исследователь также объясняет, что бинарный анализ патча - простая операция, доступная для всех. «Такой подход позволил даже не особо квалифицированным злоумышленникам выявить три уязвимости (CVE-2017-8680, CVE-2017-8684, CVE-2017-8685), приложив минимум усилий», - говорит эксперт.
Один из исследователей пришел к такому выводу после того, как обнаружил уязвимости CVE-2017-8680, затронувшей только Windows 7 и 8.1. Более глубокий анализ показал, что Microsoft не внедрила исправление в другие версии ОС.
Впоследствии было обнаружено, что патчи, устраняющие некоторые уязвимости, были применены по-разному к каждой версии ОС от Microsoft, что приводит к появлению новых ошибок.
Таким образом, исследователь нашел CVE-2017-8684 и CVE-2017-8685, две уязвимости, затрагивающие только Windows 7 и Windows 8.1, что стало результатом подобного подхода к исправлениям уязвимостей. Обе эти бреши затрагивали компонент Windows GDI+.
Основной целью специалиста было доказать, что «различия в отношении к безопасности параллельно поддерживаемых версий одного продукта могут использоваться злоумышленниками для выявления значительных недостатков или просто регулярных ошибок».
Исследователь также объясняет, что бинарный анализ патча - простая операция, доступная для всех. «Такой подход позволил даже не особо квалифицированным злоумышленникам выявить три уязвимости (CVE-2017-8680, CVE-2017-8684, CVE-2017-8685), приложив минимум усилий», - говорит эксперт.
.png)