Microsoft Patch Tuesday: En 0-dagars; Win 7 och 8.1 får senaste patchar någonsin

Så vitt vi kan säga finns det en hel del 2874 objekt i denna månads Patch Tuesday-uppdateringslista från Microsoft, baserad på CSV-nedladdningen som vi precis hämtade från Redmonds Säkerhetsuppdateringsguide webbsida.

(Själva webbplatsen säger 2283, men CSV-exporten innehöll 2875 rader, där den första raden egentligen inte är en datapost utan en lista över de olika fältnamnen för resten av raderna i filen.)

Skenande uppenbart högst upp på listan är namnen i Produkt kolumn av de första nio posterna, som handlar om en elevation-of-privilege (EoP) patch betecknad CVE-2013-21773 för Windows 7, Windows 8.1och Windows RT 8.1.

Windows 7, som många kommer ihåg, var extremt populärt på sin tid (vissa, vissa anser det fortfarande vara det bästa Windows någonsin), och lockade äntligen även inbitna fans mot Windows XP när XP-stödet upphörde.

Windows 8.1, som mer kommer ihåg som en sorts "buggfix"-utgåva för det olyckliga och länge tappade Windows 8 än som en riktig Windows-version i sig, slog aldrig riktigt fast.

Och Windows RT 8.1 var allt folk inte gillade i den vanliga versionen av Windows 8.1, utan kördes på proprietär ARM-baserad hårdvara som var strikt låst, som en iPhone eller en iPad – inte något som Windows-användare var vana vid, inte heller , att döma av marknadens reaktion, något som många var villiga att acceptera.

Visserligen kommer du att göra det ibland läsa att den jämförande impopulariteten hos Windows 8 är anledningen till att nästa stora utgåva efter 8.1 numrerades till Windows 10, vilket medvetet skapade en känsla av separation mellan den gamla versionen och den nya.

Andra förklaringar inkluderar det Windows 10 var tänkt att vara det fullständiga namnet på produkten, så att 10 utgjorde en del av det helt nya produktnamnet, snarare än att bara vara ett nummer som lagts till namnet för att beteckna en version. Det efterföljande utseendet av Windows 11 satte något av en buckla i den teorin – men det fanns aldrig ett Windows 9.

Slutet på två epoker

Falla tårar nu, för denna månad ser de allra sista säkerhetsuppdateringarna för de gamla versionerna av Windows 7 och Windows 8.1.

Windows 7 har nu nått slutet av sin treåriga betala-extra-för-få-ESU-period (ESU är en förkortning för utökade säkerhetsuppdateringar), och Windows 8.1 helt enkelt får inga utökade uppdateringar, tydligen oavsett hur mycket du är villig att betala:

Som en påminnelse kommer Windows 8.1 att avslutas med support den 10 januari 2023 [2023-01-10], då teknisk assistans och programuppdateringar inte längre kommer att tillhandahållas. […]

Microsoft kommer inte att erbjuda ett program för utökad säkerhetsuppdatering (ESU) för Windows 8.1. Att fortsätta använda Windows 8.1 efter den 10 januari 2023 kan öka en organisations exponering för säkerhetsrisker eller påverka dess förmåga att uppfylla efterlevnadskrav.

Så det är verkligen slutet på Windows 7- och Windows 8.1-erorna, och alla operativsystembuggar som finns kvar på alla datorer som fortfarande kör dessa versioner kommer att finnas där för alltid.

Kom naturligtvis ihåg att trots sina åldrar har båda dessa plattformar just denna månad fått patchar för dussintals olika CVE-numrerade sårbarheter: 42 CVE:er i Windows 7 och 48 CVE:er i Windows 8.1.

Även om samtida hotforskare och cyberbrottslingar inte uttryckligen letar efter buggar i gamla Windows-byggen, kan brister som först hittas av angripare som gräver i den allra senaste versionen av Windows 11 visa sig ha ärvts från äldre kod.

Faktum är att CVE-talen på 42 och 48 ovan jämförs med totalt 90 olika CVE:er listade på Microsofts officiella Releaseinformation för januari 2023 sida, vilket löst antyder att ungefär hälften av dagens buggar (i denna månads lista har alla 90 CVE-2023-XXXX datumbeteckningar) har väntat på att hittas i Windows i minst ett decennium.

Med andra ord, på samma sätt som buggar som avslöjats i gamla versioner fortfarande kan visa sig påverka de senaste och bästa utgåvorna, kommer du också ofta att upptäcka att "nya" buggar går långt tillbaka och kan eftermonteras till exploits som fungerar på gamla Windows-versioner också.

Ironiskt nog kan "nya" buggar i slutändan vara lättare att utnyttja på äldre versioner, på grund av de mindre restriktiva inställningarna för mjukvarubyggen och mer liberala körtidskonfigurationer som ansågs acceptabla då.

Äldre bärbara datorer med mindre minne än idag var vanligtvis konfigurerade med 32-bitarsversioner av Windows, även om de hade 64-bitars processorer. Vissa hotreducerande tekniker, särskilt de som involverar randomisering av de platser där program hamnar i minnet för att minska förutsägbarheten och göra exploateringar svårare att genomföra på ett tillförlitligt sätt, är vanligtvis mindre effektiva på 32-bitars Windows, helt enkelt för att det finns färre minnesadresser att välja ifrån. Precis som kurragömma, ju fler möjliga platser det finns att gömma sig, desto längre tid tar det i allmänhet att hitta dig.

"Exploatering upptäckt"

Enligt Bleeping Computer är endast två av de sårbarheter som avslöjas denna månad listade som i naturen, med andra ord känd utanför Microsoft och den omedelbara forskargemenskapen:

• CVE-2023-21674: Windows Advanced Local Procedure Call (ALPC) sårbarhet för höjning av privilegier. Förvirrande nog är den här listad som Offentligt avslöjad: nej, Men Exploatering upptäckt. Av detta antar vi att cyberbrottslingar redan vet hur de ska missbruka denna bugg, men de håller noggrant detaljerna om utnyttjandet för sig själva, förmodligen för att göra det svårare för hotreagerare att veta vad de ska leta efter på system som inte har varit lappat ännu.
• CVE-2023-21549: Sårbarhet i Windows SMB-vittnestjänst Ökning av privilegier. Denna betecknas Offentligt avslöjad, men likväl uppskriven som Utnyttjande mindre sannolikt. Av detta drar vi slutsatsen att även om någon berättar för dig var buggen finns och hur du kan utlösa den, kommer det att bli svårt att ta reda på hur man kan utnyttja felet framgångsrikt och faktiskt uppnå en höjning av privilegier.

Intressant nog är CVE-2023-21674-felet, som aktivt används av angripare, inte på listan med korrigeringar för Windows 7, men det gäller Windows 8.1.

Den andra buggen, CVE-2023-21549, som beskrivs som allmänt känd, gäller både Windows 7 och Windows 8.1.

Som vi sa ovan kommer nyupptäckta brister ofta långt.

CVE-2023-21674 gäller hela vägen från Windows 8.1 till de allra senaste versionerna av Windows 11 2022H2 (H2, om du undrade, betyder "utgåvan som släpptes under andra halvan av året").

Ännu mer dramatiskt gäller CVE-2023-21549 direkt från Windows 7 till Windows 11 2022H2.

Vad ska man göra med de gamla datorerna?

Om du har Windows 7 eller Windows 8.1-datorer som du fortfarande anser vara användbara och användbara, överväg att byta till ett operativsystem med öppen källkod, till exempel en Linux-distro, som fortfarande får både stöd och uppdateringar.

Vissa Linux-gemenskapsbyggen är specialiserade på att hålla sina distros små och enkla

Även om de kanske inte har den senaste och bästa samlingen av fotofilter, videoredigeringsverktyg, schackmotorer och högupplösta bakgrundsbilder, är minimalistiska distros fortfarande lämpliga för surfning och e-post, även på gammal 32-bitars hårddisk med små hårddiskar och lågt minne.

---

LÄS SOPHOSLABS-RAPPORTEN OM MÅNADENS PATCHAR

---

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
• Källa: https://nakedsecurity.sophos.com/2023/01/11/microsoft-patch-tuesday-one-0-day-win-7-and-8-1-get-last-ever-patches/