FavoriteLoading
0

谷歌安全团队宣布微软虽然修复Windows漏洞,但是还有漏洞

谷歌安全团队宣布微软虽然修复Windows漏洞,但是还有漏洞

 

 

谷歌的安全团队Project Zero表示,微软正在通过不以相同的方式和相同的一致性来修补Windows操作系统版本,从而使客户面临风险。

其中一位Google研究人员发现CVE-2017-8680发现CVE-2017-8680这一结论,该漏洞仅影响Windows 7和8.1,而不是Windows 10.更深入的分析显示,微软在内部修补了这个问题,其他OS版本。

意识到一些事情是不幸的,Project Zero研究员Mateusz Jurczyk通过补丁和二进制文件更深入地分析了Windows 7,8.1和10的最新更新。

补丁不一致会产生新的错误

Jurczyk随后发现,针对某些错误的修补程序以不同的方式应用于每个版本,从而导致新的错误,一些不是其他操作系统分支的特定错误。

这就是研究人员如何发现CVE-2017-8684CVE-2017-8685,这两个漏洞只影响Windows 7和Windows 8.1,这是由于不一致的修补。

这两个问题都影响到Windows GDI +组件,并在2017年9月的补丁周二修复。

不同的补丁代码泄漏漏洞的来源

Jurczyk正试图做出的一个观点是“恶意演员可能会使用单一产品并发支持的分支机构的安全相关差异来确定重要的缺点,或者仅仅是在更新版本的软件中定期出现错误。”

不同的补丁代码允许攻击者推断漏洞的来源(攻击向量)。一旦Microsoft发布更新,攻击者可以修补和二进制差异Windows 7,8.1和10更新,并查找可能产生新错误的不一致的修补程序。

研究人员还指出,补丁和二进制差异是一个简单的操作,所有人都可以访问。

他说:“非先进的攻击者很容易使用这些漏洞来识别这三个漏洞(CVE-2017-8680,CVE-2017-8684,CVE-2017-8685)。

其他软件厂商可能会受到影响

虽然Windows已经确认,修补程序不一致的问题很可能会影响其他具有大型软件组合的供应商,如Oracle,Linux,Cisco等。

Jurczyk说:“我们鼓励软件供应商通过在所有受支持的软件版本中始终如一地应用安全性改进来确保这一点。