Canthink安全研究员Mateusz Jurczyk通过近期一系列漏洞研究得出这一结论。他发现一枚内核漏洞CVE-2017-8680，只对Windows 7和8.1有效，Windows 10不受影响。深入分析发现，原来微软内部已经悄悄为Windows 10修复了漏洞。

意识到这点后，Mateusz Jurczyk继续对Windows 7、8.1和10最新更新进行分析，对比补丁前后的二进制文件差异。

研究人员随后发现，微软在不同版本系统上针对某些漏洞采取不同的修复方法，引发了新的漏洞，这些漏洞只对特定版本有效。

他列举了CVE-2017-8684和CVE-2017-8685两个新发现的漏洞，因为修复方式不同，它们也只影响Windows 7和8.1。

这两个漏洞都出在Windows GDI+组件上，并于2017年9月的“周二补丁日”修复。

攻击者可以分析不同的补丁代码来推断漏洞的位置。一旦微软发布更新，攻击者就能对比Windows 7、8.1、10的更新补丁，去找出因为不一致而可能存在问题的点。对比补丁和二进制文件差异是一项很简单的操作，所有人都可以做到。有能力的攻击者很容易通过类似方式去识别上述三个漏洞（CVE-2017-8680、CVE-2017-8684、CVE-2017-8685）。

Windows对客户承诺，将调查报告的安全问题，请尽快主动更新受影响的设备。此外，微软将持续对深度防御体系进行投资，建议客户使用Windows 10和Edge浏览器以实现最佳保护。这段话被记者翻译了下，叫：please, please stop using Windows 7 and 8.