Project Zero, група з безпеки в Google, зробила заяву про те, що Microsoft ставить клієнтів під загрозу через те, що не випускає однорідні патчі для всіх версій ОС Windows.
До цього висновку прийшов один з дослідників Google після виявлення уразливості CVE-2017-8680, що торкнулася тільки Windows 7 і 8.1. Детальне дослідження показало, що Microsoft не впровадила виправлення в інші версії ОС. Згодом експерт виявив, що патчі, які усувають деякі уразливості, були застосовані по-різному до кожної версії ОС від Microsoft. Це призводить до появи нових помилок.
Подібним шляхом дослідник з Google виявив CVE-2017-8684 і CVE-2017-8685. Це дві уразливості, які зачіпають тільки Windows 7 і Windows 8.1. Він зазначив, що це стало результатом подібного підходу до виправлення вразливостей.
Microsoft
Обидві проблеми зачіпали компонент Windows GDI+. Спеціаліст успішно показав, що різні підходи до безпеки паралельно підтримуваних версій одного продукту можуть використовуватися кіберзлочинцями для виявлення як серйозних недоліків так і звичайних помилок.
Дослідник підкреслив той важливий момент, що бінарний аналіз патчу є простою операцією, доступною майже для всіх.
«З його допомогою навіть не особливо кваліфіковані зловмисники змогли виявити три уразливості (CVE-2017-8680, CVE-2017-8684, CVE-2017-8685) застосувавши мінімум зусиль», – говорить експерт.
Відзначимо, що, на думку дослідника, така ж проблема зачіпає інші великі компанії, наприклад, Oracle, Linux, Cisco.