Microsoft w zasadzie powinien się cieszyć. Zajmujący się zdobywaniem i przesyłaniem informacji o exploitach zespół Google Project Zero wprost pali się, by wytykać twórcom błędy, a mówiąc dokładniej - luki bezpieczeństwa w systemach operacyjnych. Project Zero ma jednak pewne zasady. Jeśli adresat nie wypuści łatek w określonym czasie, informacje o exploicie wyjdą na światło dzienne... a Microsoft często zwleka do ostatniej chwili.
Tym razem zarzuty specjalistów z Google dotyczą nie tyle opieszałości Microsoftu względem flagowego oprogramowania, co potraktowania po macoszemu jego starszych systemów, które wciąż cieszą się ogromną popularnością. Microsoft stara się dbać o bezpieczeństwo przede wszystkim swojego najnowszego systemu Windows 10, który średnio dwa razy w miesiącu otrzymuje aktualizacje zbiorcze z poprawkami błędów i łatkami. Project Zero twierdzi jednak, że pozostawiając Windows 7 i Windows 8 w tyle, systemy te są bardziej podatne na załatane już w Dziesiątce błędy, nawet jeśli ich szczegóły nie zostały ujawnione post factum. Problem polega na tym, że starsze wersje Okienek współdzielą bazę kodową z Windows 10, a naniesienie poprawek tylko na jedną wersję ma umożliwiać hakerom porównanie kodu i wykrycie zmian. W rezultacie może dojść do ujawnienia specyfiki błędów i opracowania nowych exploitów uderzających w podatności w starszych systemach.
"Microsoft znany jest z wprowadzania strukturalnych ulepszeń dotyczących bezpieczeństwa, a czasami nawet zwykłych poprawek błędów wyłącznie do najbardziej aktualnej platformy Windows. Tworzy to złudne poczucie bezpieczeństwa dla użytkowników starszych systemów i pozostawia [te systemy] podatnymi na błędy w oprogramowaniu, które można wykryć jedynie poprzez dostrzeżenie subtelnych zmian w korespondującym kodzie w różnych wersjach Windows" - uważa Mateusz Jurczyk, badacz z Google Project Zero. Zarzuty nie są bezpodstawne. Jurczyk deklaruje, że za pomocą tej techniki odnalazł kilka zero-day exploitów, takich jak nieinicjowane ujawnienie puli pamięci kernela, które może być użyte do obejścia ASLR jądra.
"Zachęcamy dostawców oprogramowania, aby upewniali się, że stosują poprawki zabezpieczeń we wszystkich obsługiwanych wersjach oprogramowania" - konkludują badacze. Co na to Microsoft? Wprawdzie starsze systemy pokroju Windows 7 i Windows 8.1 nadal mają aktywne wsparcie, jednak firma sugeruje, że wszyscy i tak powinni przejść na Dziesiątkę. "W celu zapewnienia najlepszej ochrony zalecamy klientom korzystanie z systemu Windows 10 i przeglądarki Microsoft Edge" - głosi oficjalne oświadczenie. Cóż, jeśli chodzi o zapewnienie wsparcia, firma teoretycznie dotrzymuje słowa, jednak przez swoją opieszałość wymusza na bardziej przezornych użytkownikach niekoniecznie chcianą przesiadkę.
341f31d.png)