Microsofti plaastri teisipäev: üks 0-päev; Win 7 ja 8.1 saavad kõigi aegade viimased paigad

Microsofti plaastri teisipäev: üks 0-päev; Win 7 ja 8.1 saavad kõigi aegade viimased paigad

Ajatempel: 10. jaanuar 2023 7:22
Allikasõlm: 1893812
by Paul Ducklin

Niipalju kui me aru saame, on neid tohutult palju 2874 esemed Microsofti selle kuu Patch Teisipäeva värskenduste loendis, mis põhineb CSV allalaadimisel, mille me just Redmondist hankisime Turvavärskenduse juhend veebileht.

(Veebisait ise ütleb 2283, kuid CSV-eksport sisaldas 2875 rida, kus esimene rida ei ole tegelikult andmekirje, vaid faili ülejäänud ridade erinevate väljanimede loend.)

Loendi ülaosas on selgelt nähtavad nimed Toode esimese üheksa kirje veerg, mis käsitleb privileegide tõstmise (EoP) plaastrit CVE-2013-21773 jaoks Windows 7, Windows 8.1ja Windows RT 8.1.

Windows 7, nagu paljud mäletavad, oli omal ajal ülipopulaarne (tõepoolest, mõned peavad seda siiani kõigi aegade parimaks Windowsiks), meelitades lõpuks isegi paadunud fännid Windows XP vastu, kui XP tugi lõppes.

Windows 8.1, mida mäletatakse rohkem kui "veaparandust" väljalaskena, mis on ette nähtud kahetsusväärseks ja pikka aega maha jäetud Windows 8 jaoks, mitte kui omaette Windowsi versiooniks, pole kunagi päriselt pälvinud.

Ja Windows RT 8.1 oli kõik, mis inimestele Windows 8.1 tavaversioonis ei meeldinud, kuid see töötab patenteeritud ARM-põhise riistvaraga, mis oli rangelt lukustatud, nagu iPhone või iPad – mitte midagi, millega Windowsi kasutajad ei harjunud. turu reaktsiooni järgi otsustades, millega paljud inimesed olid nõus leppima.

Tõepoolest, mõnikord teete seda lugenud et Windows 8 võrdlev ebapopulaarsus on põhjus, miks järgmine suurem väljalase pärast 8.1 sai nummerdatud Windows 10-ks, luues sellega teadlikult eraldustunde vana ja uue versiooni vahel.

Muud selgitused hõlmavad seda Windows 10 pidi olema toote täisnimi, nii et 10 moodustas osa uhiuuest tootenimest, mitte ei olnud lihtsalt nimele lisatud number versiooni tähistamiseks. Windows 11 järgnev ilmumine pani sellele teooriale veidi mõlki – kuid Windows 9 pole kunagi olnud.

Kahe ajastu lõpp

Valage nüüd pisarad, sest sel kuul ilmuvad vana kooli Windows 7 ja Windows 8.1 versioonide viimased turvavärskendused.

Windows 7 on jõudnud oma kolmeaastase ESU hankimise eest lisatasu perioodi lõppu (MA OLEN on lühike laiendatud turvavärskendused) ja Windows 8.1 lihtsalt ei saa pikendatud värskendusi, olenemata sellest, kui palju olete nõus maksma:

Tuletame meelde, et Windows 8.1 tugi lõpeb 10. jaanuaril 2023 [2023-01-10], siis tehnilist abi ja tarkvarauuendusi enam ei pakuta. […]

Microsoft ei paku Windows 8.1 jaoks laiendatud turbevärskenduse (ESU) programmi. Windows 8.1 kasutamise jätkamine pärast 10. jaanuari 2023 võib suurendada organisatsiooni kokkupuudet turvariskidega või mõjutada selle võimet täita vastavuskohustusi.

Seega on Windows 7 ja Windows 8.1 ajastute lõpp ning kõik operatsioonisüsteemi vead, mis on jäänud neid versioone kasutavatesse arvutitesse, jäävad sinna igaveseks.

Pidage muidugi meeles, et vaatamata nende vanusele on mõlemad need platvormid saanud sel kuul paigad kümnete erinevate CVE-numbritega turvaaukude jaoks: 42 CVE-d Windows 7 puhul ja 48 CVE-d Windows 8.1 puhul.

Isegi kui kaasaegsed ohuteadlased ja küberkurjategijad ei otsi otseselt vigu vanades Windowsi järgudes, võivad vead, mille Windows 11 uusimasse versiooni uurivad ründajad esmalt avastavad, olla päritud pärandkoodist.

Tegelikult on CVE-de arv 42 ja 48 eespool kokku 90 erineva CVE-ga, mis on loetletud Microsofti ametlikus 2023. aasta jaanuari väljalaskemärkmed leht, mis viitab lõdvalt sellele, et umbes pooled tänastest vigadest (selle kuu loendis on kõigil 90-l kuupäevatähisega CVE-2023-XXXX) on Windowsis vähemalt kümme aastat oodanud, et need leitaks.

Teisisõnu, samamoodi nagu vanades versioonides paljastatud vead võivad endiselt mõjutada uusimaid ja parimaid väljalaseid, avastate sageli, et "uued" vead on kaugelt vanad ja neid saab ümber paigutada vanadele versioonidele. Windowsi versioonid ka.

Irooniline, et "uusi" vigu võib lõppkokkuvõttes olla lihtsam kasutada vanemates versioonides tänu vähem piiravatele tarkvara koostamise sätetele ja vabamatele käitusaja konfiguratsioonidele, mida peeti tollal vastuvõetavaks.

Vanemad sülearvutid, millel on vähem mälu kui praegu, olid tavaliselt seadistatud Windowsi 32-bitise versiooniga, isegi kui neil olid 64-bitised protsessorid. Mõned ohtude maandamise tehnikad, eriti need, mis hõlmavad programmide mällu sattumise kohtade juhuslikku määramist, et vähendada prognoositavust ja raskendada ärakasutamist usaldusväärselt, on tavaliselt 32-bitises Windowsis vähem tõhusad, lihtsalt seetõttu, et mäluaadresse on vähem. mille hulgast valida. Nagu peitus, mida rohkem on varjumiskohti, seda kauem võtab teie leidmine üldiselt aega.

"Kasutamine tuvastatud"

Bleeping Computeri andmetel on sel kuul avalikustatud haavatavustest ainult kaks looduslikku, teisisõnu väljaspool tuntud Microsoft ja vahetu teadlaskond:

  • CVE-2023-21674: Windows Advanced Local Procedure Call (ALPC) privileegide tõstmise haavatavus. Segadust tekitavalt on see loetletud kui Avalikult avalikustatud: ei, Kuid Tuvastati ärakasutamine. Sellest lähtuvalt eeldame, et küberkurjategijad juba teavad, kuidas seda viga kuritarvitada, kuid nad hoiavad ärakasutamise üksikasju hoolikalt enda teada, arvatavasti selleks, et ohule reageerijatel oleks raskem teada, mida otsida süsteemides, mida pole veel kasutatud. veel lapitud.
  • CVE-2023-21549: Windows SMB Witness Service Elevation of Privilege haavatavus. See on tähistatud Avalikult avalikustatud, kuid sellegipoolest on kirjas kui Kasutamine vähem tõenäoline. Sellest järeldame, et isegi kui keegi ütleb teile, kus viga asub ja kuidas saate selle käivitada, on vea eduka ärakasutamise ja privileegide suurendamise väljamõtlemine keeruline.

Huvitaval kombel pole viga CVE-2023-21674, mida ründajad aktiivselt kasutavad, Windows 7 paikade loendis, kuid see kehtib Windows 8.1 kohta.

Teine viga, CVE-2023-21549, mida kirjeldatakse avalikult teadaolevana, kehtib nii Windows 7 kui ka Windows 8.1 puhul.

Nagu eespool ütlesime, lähevad äsja avastatud vead sageli kaugele.

CVE-2023-21674 kehtib alates Windows 8.1-st kuni Windows 11 2022H2 uusimate järguteni (H2, kui teil tekkis küsimus, tähendab „aasta teisel poolel välja antud väljalaset”).

Veelgi dramaatilisemalt kehtib CVE-2023-21549 alates Windows 7-st kuni Windows 11 2022H2-ni.

Mida teha nende vanade arvutitega?

Kui teil on Windows 7 või Windows 8.1 arvutid, mida peate endiselt kasutatavaks ja kasulikuks, kaaluge üleminekut avatud lähtekoodiga operatsioonisüsteemile (nt Linuxi distributsioonile), mis saab endiselt nii tuge kui ka värskendusi.

Mõned kogukonna Linuxi versioonid on spetsialiseerunud sellele, et nende distributsioonid oleksid väikesed ja lihtsad

Kuigi neil ei pruugi olla uusimat ja parimat fotofiltrite, videotöötlustööriistade, malemootorite ja kõrge eraldusvõimega taustapiltide kollektsiooni, sobivad minimalistlikud distributsioonid sirvimiseks ja e-kirjade saatmiseks isegi vanal 32-bitisel riistvaral, millel on väikesed kõvakettad ja vähe mälu.

READ THE SOPHOSLABS REPORT ON THIS MONTH’S PATCHES

Ajatempel:

Veel alates Alasti turvalisus