News Microsoft mało dba o bezpieczeństwo Windows 7, cały wysiłek poszedł w Windows 8

Niemieccy badacze Marion Marschalek i Moti Joseph mają złą wiadomość dla wszystkich tych, którzy upierają się trwać przy Windows 7, zamiast zgodnie z oczekiwaniami Microsoftu kupić nowe Windows 8.1. Z ich badań wynika, że choć Redmond zobowiązało się dostarczać aktualizacje bezpieczeństwa do tego ogromnie popularnego systemu przez jeszcze ponad pięć lat, to zobowiązań swoich nie traktuje z entuzjazmem. Nowe zabezpieczenia trafiają dziś tylko do Windows 8.1, pozostawiając Windows 7 bez porządnej ochrony.

Podczas tegorocznej konferencji TROOPERS eksperci zademonstrowali swoje napisane w Pythonie narzędzie DiffRay, służące do automatyzacji porównywania komponentów software'owych w Windows 7 i Windows 8 (8.1). Za jego pomocą zeskanowane zostało 900 bibliotek systemowych. Skan pozwolił ustalić, że nowsza wersja Windows otrzymała przynajmniej cztery dodatkowe funkcje bezpieczeństwa w plikach nagłówków intsafe.h i strsafe.h (przeznaczonych do ochrony przed przepełnieniami bufora).

Zdaniem badaczy to zaniechanie producenta może wskazać drogę do nowych podatności, działających tylko w Windows 7. Moti Joseph uważa, że Microsoft po prostu nie chce dziś marnować czasu i pieniędzy na prace nad starszymi systemami, robiąc dla nich tylko to, co konieczne. Celem firmy jest zmuszenie ludzi do przejścia na nowsze wersje systemów, a nie rozwijanie czegoś, co powinno zostać zapomniane.



Oszczędzanie na bezpieczeństwie może się jednak dla Redmond skończyć znacznie większymi wydatkami. Kolejne wersje DiffRaya pozwolić mają na automatyzację procesów wyszukiwania podatności w Windows, i jak Joseph zapewnia, jeśli z tego projektu uda się uzyskać choć jedną lukę 0-day, to spełni on swoje zadanie.

Należy jednak podkreślić, że wbrew temu, co niektóre media piszą o tym odkryciu, nie mamy tu do czynienia z lukami w Windows 7, których nie ma w Windows 8. Wspomniane funkcje nie są częścią systemowych interfejsów, lecz przynależą do narzędzi deweloperskich (SDK) dla języków C/C++, i jeśli ktoś w aplikacji będzie do nich statycznie linkował, to powinny działać też na Windows 7. Ich nieobecność w „siódemce” oznacza po prostu, że „ósemka” jest lepiej zabezpieczona przed potencjalnymi błędami programistów.

Niekoniecznie też taki stan rzeczy musi być efektem złej woli – równie dobrze może to być efekt niezależnej pracy różnych zespołów deweloperskich, które nawzajem nie informowały się o zmianach wprowadzanych do SDK. Być może nawet Windows 7 po prostu nie potrzebuje tych nowych funkcji dla utrzymania właściwego poziomu bezpieczeństwa.