Windows 10是目前微軟卯足全力在主推的系統,不過,根據統計直到2017年7月,Windows 7 的市佔率依然佔有 45.73%,還是有相當多人在使用。但是微軟已經宣佈 Windows 7 早在 2015 年正式停止主流支援,而現在Google的安全專家指出,微軟越是針對Windows 10推出安全更新,可能越導致Windows 7陷入危險。
微軟已經宣佈 Windows 7 早在 2015 年正式停止主流支援,而依照慣例,之後會再提供五年的延伸支援服務,其中包含安全更新與付費技術支援等。雖然對於一般用戶來說,可能還可以持續使用Windows 7到2020年,但這背後隱藏了部分風險。
根據Google的Project Zero 研究人員 Mateusz Jurczyk 指出,由於現在微軟會在第一時間向Windows 10推出安全更新,但是對於停止主流支援的那些系統就不會在第一時間推出更新,這也給了駭客留下線索,知道這些系統有哪些漏洞。駭客可以使用被稱為「binary diffing」的技術,來分析修正之後的Windows 10系統找到漏洞所在。由於Windows 7、Windows 8、Windows 10都使用相同的核心程式碼,因此駭客只要比對Windows 10修正安全漏洞後的程式碼以及未修正安全漏洞之前的Windows 7的程式碼,就可以推測出在先前的Windows版本的系統漏洞。
Mateusz Jurczyk 表示, binary diffing 技術特別對於Windows 7的使用者安全造成嚴重的威脅,因為Windows 7的使用人數佔有所有Windows系統使用者中一半的比例,而且駭客知道微軟只會在最新的Windows 10系統上新增最強的安全功能以及提供第一時間Bug的修正。
他之所以會發現這個問題,是之前他所發現的一個Bug所引起的,這個Bug被微軟列為 CVE-2017-8680 ,是Windows 8.1、 Windows 7的Bug,但是特別的是,他發現Windows 10並沒有這個Bug。他於五月份向微軟舉報了這個Bug,微軟於九月份推出了更新。
他深入研究了這個Bug,才發現Windows 10的部分,微軟先前早已經推出了安全更新去修補了。但是微軟並沒有對先前的系統版本進行更新。
因此,他就利用 binary diffing 技術,著手比對了更多Windows 7、Windows 10以及Windows 8.1、Windows 10的一些安全更新,果然給他找到了兩個漏洞:CVE-2017-8684 、 CVE-2017-8685, 分別在Windows 7 以及 Windows 8.1 的系統核心,這些也都在他舉報後,九月份微軟分別對這些系統進行了更新。
Jurczyk表示,他的作法已經實證了駭客可以利用同樣的方法來發現Windows 7中的零日漏洞。而且他表示,這種技術並不難,就算不是資深駭客也能做到。
至於微軟,則表示他們致力於保護所有的用戶,但只有升級到Windows 10後才能提供最佳安全性。
微軟公司發言人表示:「微軟承諾會調查該報告所提到的安全問題,並盡快主動更新受影響的裝置。此外,我們過去以來一直不斷投資Windows的安全,並建議用戶使用Windows 10和Microsoft Edge瀏覽器,才能獲得最佳防護的支援。」
- 新聞來源:zdnet
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!