不具合修正はWindows 10優先 マイクロソフトの姿勢に批判
2017年10月24日 07:26
Microsoftはセキュリティに関連する不具合修正パッチについて、最新OS向けのものをまず優先して提供する方針なのだそうだ。そのため、Windows 7や8.1向けのセキュリティパッチの提供は遅くなる可能性があるという(ITmedia)。また、これを利用して攻撃者が未発表の脆弱性を知ることができるという危険性もあるようだ
GoogleのProject Zeroブログに掲載されたUsing Binary Diffing to Discover Windows Kernel Memory Disclosure Bugsという記事によると、たとえばWindowsカーネル内でのmemset関数呼び出しに関する脆弱性は、Windows 10ではすでに修正パッチが提供されているにもかかわらず、Windows 7や8.1ではまだ修正パッチが提供されていないと見られるそうだ。そのほか、Windows 8.1では修正されているがWindows 7では修正されていないと思われる脆弱性もあるという。
このようにバージョンによって修正タイミングが異なると、たとえばWindows 10のバイナリとWindows 7のバイナリを比較したり差分を取ることで、Windows 10だけで修正されている未発表の脆弱性を特定するといったことが可能になってしまう。