微软正在危机 Windows 7 用户,据了解,这家公司优先向 Windows 10 用户推送补丁,而 Windows 7 用户则很有可能没有收到。谷歌 Project Zero 研究员 Mateusz Jurczyk 推断,如果事实确定如此,那么 Windows 7 用户收到补丁推送的时间将会晚很多。
据了解,Jurczyk 已经在微软的操作系统中发现了大量令人不安的漏洞。据其披露,虽然 Windows 7 和 Windows 10 拥有大量类似的代码,但只给 Windows 10 打补丁不给 Windows 7 打补丁的做法则会给攻击者留下攻击其操作系统的机会。
比如一个叫做 binary diffing 的技术,黑客可以通过分析 Windows 10 补丁中的新代码搞清楚微软想要修复的东西,然后他们就可以将攻击对象对准还未获得补丁的 Windows 7。
眼下,Windows 7 仍旧是全球 PC 操作系统占比最高的系统,高达 43.99%。
对于微软的这种做法,Jurczyk 认为,这会给老系统的用户带来一种虚假的安全感,黑客们可以通过新系统补丁找到攻击点,这不仅仅让一些用户暴露在攻击之下而且还可以揭露攻击向量,这将对用户的安全构成直接影响。
获悉,Jurcyk 总共提到了 3 个不会影响 Windows 10 但会殃及 Windows 7 和 8.1 的漏洞--CVE-2017-8680、VE-2017-8684、CVE-2017-8685。所幸的是,微软在得到来自 Project Zero 的通知之后已于上月修复了它们。
另外,Jurcyk 还警告称,利用 diffing 技术寻找漏洞将使得整个攻击过程变得简单且无需攻击者对 Windows 拥有太深入的了解。