Google heeft meerdere lekken in de kernel van Windows ontdekt door code van Windows 7 en Windows 10 met elkaar te vergelijken. Volgens de internetgigant is het dan ook belangrijk dat verbeteringen die Microsoft aan Windows 10 doorvoert ook voor andere Windows-versies beschikbaar komen.
Er zijn verschillende technieken die zowel onderzoekers als aanvallers gebruiken om kwetsbaarheden in software te vinden. Zo is er "patch diffing", waarbij twee versies van dezelfde code worden vergeleken. Het gaat dan om de kwetsbare versie van de code en de gepatchte versie. Op deze manier kunnen oorzaken, aanvalsvectoren en mogelijke varianten van de kwetsbaarheid in kwestie worden ontdekt. Dit wordt bijvoorbeeld gedaan als een leverancier niet veel details over een kwetsbaarheid en update vrijgeeft. Aanvallers maken er bijvoorbeeld gebruik van om kwetsbaarheden te vinden en exploits te ontwikkelen om zo gebruikers aan te vallen die beschikbare updates niet op tijd installeren.
Een andere techniek die wordt toegepast om veiligheidsproblemen te vinden is "binary diffing". Hierbij worden verschillen gezocht tussen twee of meer versies van een enkel product die dezelfde kerncode delen en tegelijkertijd op de markt beschikbaar zijn, maar onafhankelijk door de leverancier worden ondersteund. Het gaat dan bijvoorbeeld om Windows. Microsoft ondersteunt op dit moment drie versies van het platform, namelijk Windows 7, 8.1 en 10.
Volgens Google staat Microsoft erom bekend dat het structurele verbeteringen alleen aan de meest recente Windows-versie doorvoert. "Dit geeft gebruikers van oudere systemen een vals gevoel van veiligheid en maakt ze kwetsbaar voor kwetsbaarheden die zijn te vinden door alleen subtiele veranderingen in de corresponderende code van verschillende Windows-versies te vergelijken", zegt Google-onderzoeker Mateusz Jurczyk.
Jurczyk gebruikte naar eigen zeggen een zeer eenvoudige vorm van binary diffing om drie kwetsbaarheden in de Windows-kernel te vinden. Dergelijke kwetsbaarheden kunnen handig zijn voor een aanvaller die al toegang tot een systeem heeft en zijn rechten wil verhogen of informatie uit het geheugen wil halen. De drie beveiligingslekken waren aanwezig in Windows 7 en Windows 8.1 en werden deze maand door Microsoft gepatcht.
De Google-onderzoeker heeft nu besloten om de details vrij te geven om te laten zien hoe veiligheidsverschillen in verschillende ondersteunde versies van een enkel product door aanvallers kunnen worden gebruikt om in de oudere versies kwetsbaarheden te vinden. "Niet alleen stelt het klanten bloot aan aanvallen, maar het onthult ook aanvalsvectoren die direct tegen de veiligheid van de gebruiker kunnen worden ingezet", aldus Jurczyk. Hij stelt dat ook niet-geavanceerde aanvallers de drie kwetsbaarheden die hij ontdekte hadden kunnen vinden. Google roept softwareleveranciers dan ook op om veiligheidsverbeteringen consistent onder alle ondersteunde versies van hun software uit te rollen.
Deze posting is gelocked. Reageren is niet meer mogelijk.