微软默默修复Windows 10安全漏洞，并且往往不立即向Windows 7和8推出相同的更新，从而可能导致数亿台计算机遭入侵。

很多能被利用的漏洞都在Windows 10的大版本更新中被悄悄修复，如周年纪念更新和创作者更新。但是这些重要的更新却非常缓慢地更新到Windows 7和Windows 8平台上。

这一切结论都是Google Project Zero团队的研究人员得出的：漏洞会在Windows 10中被悄悄修复，而以前版本的Windows则不会迅速修复。可怕的是，既然结论已经公开，黑客们也会留意到这一点——Google的员工已经公开发表了。

Google Project Zero研究员Mateusz Jurczyk周四表示：“微软以引进一系列结构性安全性改进而闻名，有时甚至是普通的漏洞修复也仅适用于最新的Windows平台。

“这为旧系统的用户造成了一种虚假的安全感，他们极易受到软件漏洞影响，我们只能通过对比不同版本的Windows中发现相应代码的微妙更改来检测软件漏洞。

举例来说，Jurczyk强调了在内核中使用memset()函数。这个函数的作用是将特定区域内的内存重写为一个特定的值，例如零，从而清除之前存储在内存中的任何内容。

当应用程序告知内核时，内核会通过NtGdiGetGlyphOutline系统调用，填充内存区域，并将其复制到应用程序的内存空间中，操作系统在复制之前不会使用memset()完全覆盖该区域操作。这意味着内核最终会复制到应用程序的内存空间中，覆盖私有内核数据，从而泄露信息。这个漏洞影响巨大，可以了解系统和其他程序的情况，执行可能的攻击。

Windows 10中修复了此信息泄露漏洞，但在Windows 7和Windows 8.1中依然存在，直到Project Zero在今年5月底向Microsoft报告，微软最终在9月发布了Windows 7和8.1系统的修补程序。 Google通常会向包括微软在内的厂商提供90天的时间来解决任何报告的安全漏洞，然后再公布漏洞，迫使厂商修复。

但以前的Windows版本补丁延迟数个月，这就会使得系统容易受到攻击，让黑客更容易看到他们可以利用的漏洞。

Jurczyk解释说：“它不仅会让一些客户暴露在攻击之下，而且还会明显地指明攻击向量，这会直接威胁用户安全。

“对于那些补丁比较明显的漏洞，例如内核内存泄露和添加的memset调用，这一点尤其如此。

尽管希望厂商为旧版软件版本无限期是不现实，但Windows用户中仍有大约一半仍在运行Windows 7和8，这意味着数百万用户面临危险。

Windows 8.1应该在2023年1月10日之前收到每月安全补丁，而Windows 7应该在2020年1月14日前接收补丁。

微软公司的一位发言人说：“根据客户承诺Windows会调查已报告的安全问题，并尽快为受影响的设备打补丁。

“此外，我们不断研发深度防御安全的产品，并建议客户使用Windows 10和Microsoft Edge浏览器进行最佳保护。”

翻译：别再用Windows 7和8了。