微軟默默修復Windows 10安全漏洞，并且往往不立即向Windows 7和8推出相同的更新，從而可能導致數億臺計算機遭入侵。

很多能被利用的漏洞都在Windows 10的大版本更新中被悄悄修復，如周年紀念更新和創作者更新。但是這些重要的更新卻非常緩慢地更新到Windows 7和Windows 8平臺上。

這一切結論都是Google Project Zero團隊的研究人員得出的：漏洞會在Windows 10中被悄悄修復，而以前版本的Windows則不會迅速修復。可怕的是，既然結論已經公開，黑客們也會留意到這一點——Google的員工已經公開發表了。

Google Project Zero研究員Mateusz Jurczyk周四表示：“微軟以引進一系列結構性安全性改進而聞名，有時甚至是普通的漏洞修復也僅適用于最新的Windows平臺。

“這為舊系統的用戶造成了一種虛假的安全感，他們極易受到軟件漏洞影響，我們只能通過對比不同版本的Windows中發現相應代碼的微妙更改來檢測軟件漏洞。

舉例來說，Jurczyk強調了在內核中使用memset()函數。這個函數的作用是將特定區域內的內存重寫為一個特定的值，例如零，從而清除之前存儲在內存中的任何內容。

當應用程序告知內核時，內核會通過NtGdiGetGlyphOutline系統調用，填充內存區域，并將其復制到應用程序的內存空間中，操作系統在復制之前不會使用memset()完全覆蓋該區域操作。這意味著內核最終會復制到應用程序的內存空間中，覆蓋私有內核數據，從而泄露信息。這個漏洞影響巨大，可以了解系統和其他程序的情況，執行可能的攻擊。

Windows 10中修復了此信息泄露漏洞，但在Windows 7和Windows 8.1中依然存在，直到Project Zero在今年5月底向Microsoft報告，微軟最終在9月發布了Windows 7和8.1系統的修補程序。 Google通常會向包括微軟在內的廠商提供90天的時間來解決任何報告的安全漏洞，然后再公布漏洞，迫使廠商修復。

但以前的Windows版本補丁延遲數個月，這就會使得系統容易受到攻擊，讓黑客更容易看到他們可以利用的漏洞。

Jurczyk解釋說：“它不僅會讓一些客戶暴露在攻擊之下，而且還會明顯地指明攻擊向量，這會直接威脅用戶安全。

“對于那些補丁比較明顯的漏洞，例如內核內存泄露和添加的memset調用，這一點尤其如此。

盡管希望廠商為舊版軟件版本無限期是不現實，但Windows用戶中仍有大約一半仍在運行Windows 7和8，這意味著數百萬用戶面臨危險。

Windows 8.1應該在2023年1月10日之前收到每月安全補丁，而Windows 7應該在2020年1月14日前接收補丁。

微軟公司的一位發言人說：“根據客戶承諾Windows會調查已報告的安全問題，并盡快為受影響的設備打補丁。

“此外，我們不斷研發深度防御安全的產品，并建議客戶使用Windows 10和Microsoft Edge瀏覽器進行最佳保護。”

翻譯：別再用Windows 7和8了。