Microsoft не торопится латать Windows 7 и 8.1
Специалисты Project Zero, занимающиеся поиском уязвимостей нулевого дня в составе Google, опубликовали 5 октября в своем блоге сообщение об уязвимостях в Windows. Проблема, впрочем, не в самих брешах, а в том, что программисты из Microsoft провели выборочную работу над ошибками. В Google сравнили программный код Windows 7, 8.1 и 10 и выяснили, что только в новейшей ОС закрыты бреши, выявленные еще весной этого года.
Команда Project Zero занимается анализом безопасности различных продуктов, доступных широкой аудитории. Цель данного проекта — не просто заявить о найденной ошибке, а добиться исправления багов. Соответственно, и записи в блоге появляются только спустя 90 дней, если разработчик не принял во внимание замечание, сделанное приватно.
Темой очередной публикации стала ситуация с багами в операционных системах Windows. В мае 2017 года команда Project Zero уведомила коллег из Microsoft о трех уязвимостях (CVE-2017-8680, CVE-2017-8684, CVE-2017-8685), относящихся к работе интерфейса графического устройства (GDI+). Хакеры, используя брешь, могут получить доступ к информации о работе системы, что поможет им в дальнейших атаках на компьютер.
В сентябре Microsoft опубликовала патч, который ликвидировал эти уязвимости. Однако месяц спустя выяснилось, что исправления получили только пользователи новейшей версии ОС. Таким образом, авторы патча закрыли злоумышленникам доступ к Windows 10, но, как это ни парадоксально, упростили атаки на компьютеры, где установлены более ранние версии. Теперь достаточно использовать метод сравнения файлов, который применим к любому ПО, имеющему одинаковый основной код и разные обновления, чтобы обнаружить уязвимость. По заявлению специалиста Project Zero Матеуша Юрчика (Mateusz Jurczyk), сделать это могут даже неопытные злоумышленники, приложив минимум усилий.
В ходе проведенного анализа специалисты из Google пришли к заключению, что Microsoft исправляет серьезные и даже небольшие баги только в Windows 10. Пользователи других поддерживаемых версий остаются в полном неведении относительно своих рисков. Ситуация усугубляется тем, что сейчас в рейтинге популярности систем от Microsoft лидирует как раз Win 7 (44% компьютеров), а Win 10 занимает лишь второе место (39% устройств). При этом официальная поддержка 7-й версии заявлена до 14 января 2020 года.
Издание The Register получило официальный ответ от Microsoft. К сожалению, представитель IT-гиганта оставил без внимания проблемы с Windows 7 и 8.1, но подчеркнул, что в Microsoft внимательно относятся к вопросам безопасности программного обеспечения. При этом он посоветовал использовать Windows 10 и интернет-браузер Edge.
Последний на сегодняшний день пакет обновлений для Windows, вышедший в сентябре, содержит исправления для 81 брешей. Патчи повышают безопасность как операционной системы в целом, так и набора MS Office, а также браузеров IE и Edge. Сентябрьский включает 26 исправлений критических уязвимостей, в частности бреши в .NET Framework, позволявшей злоумышленникам получить полный контроль над компьютером, вплоть до создания учетных записей и установки программ.