Огромное количество пользователей по-прежнему используют операционные системы Windows 7 и 8.1, однако их безопасность оказалась под угрозой из-за текущей политики со стороны Microsoft. Как сообщает исследователь безопасности Матеуш Юрчик (Mateusz Jurczyk) из компании Google, компания Microsoft нередко выпускает исправления безопасности исключительно для Windows 10, но не обращает внимание на эти же «дыры» в предыдущих поддерживаемых версиях Windows.
Таким шагом компания оставляет хакерам подсказки, которые они могут использовать для атак на предыдущие операционные системы. Сравнение файлов (binary diffing) позволит злоумышленникам обнаружить сделанные исправления и использовать полученные данные для атаки на старые системы. Задача посильна даже не профессионалам, поскольку Windows 7, 8.1 и 10 используют один и тот же основной код.
Практически половина аудитории Windows использует операционную систему Windows 7, у которых складывается мнимое ощущение безопасности при установке новейших обновлений. Но злоумышленникам уже давно известно, что в некоторых случаях Microsoft исправляет уязвимости только в Windows 10, а значит они могут воспользоваться «дырами» и произвести атаку на устройства пользователей.
Отмечается, что уязвимость CVE-2017-8680 затронула только Windows 7 и 8.1, тогда как в Windows 10 она отсутствовала. Команда Google Project Zero оповестила об этом компанию Microsoft ещё в мае этого года, но соответствующий патч был выпущен только в сентябре. Проведя сравнение файлов Windows 7/Windows 10 и Windows 8.1/Windows 10, исследователь обнаружил ещё две уязвимости CVE-2017-8684 и CVE-2017-8685 в ядре старых версий системы. К текущему моменту известно, что обе уязвимости были устранены в сентябрьском обновлении.
Напоминаем, что срок расширенной поддержки Windows 7 заканчивается 14 января 2020 года, а операционная система Windows 8.1 по-прежнему находится в стадии основной поддержки. До истечения срока расширенной поддержки, компания обязуется устранять уязвимости в системе и обеспечивать максимальную безопасность пользователей.