Offensichtlich patcht Microsoft dieselben Bugs in den Windows-Versionen 7, 8 und 10 mit dehr unterschiedlicher Priorität. Gelegentlich braucht der Konzern aus Redmond sogar eine Extra-Aufforderung, sich um die älteren Versionen von Windows zu kümmern.
Das fand Googles Project-Zero-Team bei einem Binärvergleich zwischen Kernel-Komponenten dieser drei Windows-Versionen vor und nach dem Einspielen diverser Updates heraus.
Anstoß dafür war, dass die Sicherheitsforscher Ende Mai dieses Jahres eine Sicherheitslücke (CVE-2017-8680) in den Windows-Versionen 7 und 8 entdeckten und zugleich auch feststellten, dass der Fehler in Windows 10 schon deutlich früher beseitigt worden war.
Gepatcht wird erst, wenn Veröffentlichung droht
Dass Bugs in aktuellen Versionen bei der Weiterentwicklung der Betriebssysteme als Nebeneffekt behoben werden, ist im Grunde völlig normal. Die Beschaffenheit des nur ein paar Codezeilen umfassenden Patches für Windows 10 wies laut Project Zero allerdings darauf hin, dass sich Microsoft dieses Bugs bewusst war und trotzdem erst einmal auf das Flicken der älteren Versionen von Windows verzichtete.
Die Redmonder beseitigten die Sicherheitslücke in Windows 7 und 8 erst, als die Veröffentlichung drohte. Googles Project Zero verfolgt in diesen Dingen eine strikte Policy und macht letztendlich alle nicht gepatchten Schwachstellen publik.
10er Patches machen Angreifern 7er und 8er Schwachstellen sichtbar
Die Tatsache, dass Microsoft ältere Betriebssystem-Versionen unnötig lange im Regen stehen lässt, konnte Project Zero auch noch anhand zweier anderer Sicherheitslücken (CVE-2017-8684 und CVE-2017-8685) untermauern, die die Sicherheitsforscher auch per Binärvergleich ausfindig gemacht haben. Sie wurden in Windows 7 später gepatcht als in Windows 8 und darüber hinaus auch noch mit unterschiedlichen Patches versehen.
Man könnte das Fehlen der Patches der Tatsache geschuldet sehen, dass Microsoft das Ausnutzen aller drei genannten Sicherheitslücken als “wenig wahrscheinlich” einstufte.
Diese Einschätzung rechtfertigt aber nicht die zusätzliche Gefahr, der Nutzer älterer, ungefixter Versionen durch Microsofts inkonsistente Patch-Politik ausgesetzt werden.
Denn aktuelle Updates stellen einen optimalen Ausgangspunkt für Binärvergleiche dar. Diese wiederum sind mit den richtigen Tools kinderleicht durchführbar, enthüllen sämtliche Code-Modifikationen – und somit auch die angreifbaren Schwachstellen im alten Code. Potenzielle Angreifer müssen dann “nur noch” den passenden Exploit schreiben und haben im schlimmsten Fall unbegrenzt Zeit für dessen Anwendung.