Microsoft cho rằng việc công khai lỗ hổng Windows của Google là quá sớm và nguy hiểm

Nhóm bảo mật của Google cho biết, lỗ hổng cho phép kẻ tấn công có thể thoát khỏi sandbox - một kĩ thuật rất quan trọng trong bảo mật giúp hạn chế việc truy cập vào tài nguyên hệ thống của các ứng dụng ngoài, thông qua một lỗ hổng trong hệ thống Win32k.

Đáng chú ý, thông tin về lỗ hổng đã được Google công khai chỉ 10 ngày sau khi báo cáo lỗi cho Microsoft để công ty này tung bản vá đến người tiêu dùng.

Thông tin công bố của Google chỉ cung cấp một mô tả chung về lỗi giúp người dùng có đủ thông tin để nhận ra một cuộc tấn công tiềm năng, trong khi những kẻ tội phạm không phải dễ dàng tìm ra lỗ hổng.

Đó là lí do khiến Microsoft chỉ trích gay gắt việc tiết lộ của Google. Trong một tuyên bố, một phát ngôn viên công ty nói “Tiết lộ ngày hôm nay của Google sẽ đặt khách hàng vào những nguy cơ tiềm ẩn. Chúng tôi khuyến cáo khách hàng sử dụng Windows 10 và trình duyệt Microsoft Edge để được bảo vệ tốt nhất”.

Vào năm 2013, Google đưa ra chính sách cho phép các lỗ hổng quan trọng được công bố chỉ 7 ngày sau khi nó được báo cáo đến nhà cung cấp. Ở thời điểm đó, một số nhà nghiên cứu chỉ trích chính sách này quá khắc nghiệt, bởi 7 ngày là không đủ thời gian để một nhà cung cấp đối phó với một lỗ hổng phức tạp.

Đây là lần đầu tiên sau 3 năm Google thực hiện chính sách công khai lỗ hổng chỉ sau một thời gian ngắn tiết lộ lỗ hổng với nhà cung cấp, mặc dù thời gian được kéo dài thành 10 ngày. Theo giải thích từ các kĩ sư Google, đó là điều cần thiết để các nhà cung cấp tập trung nhanh hơn vào việc giải quyết lỗi.

Cũng theo Google, người dùng cần tiến hành cập nhật Adobe Flash lên phiên bản mới nhất, và tốt nhất là để chế độ tự động cập nhật trước khi Microsoft tung bản vá lỗi cho Windows.

Theo Thanh Niên.




Bình luận

  • TTCN (0)