Google lại "vả" vào mặt Microsoft một lần nữa khi công bố lỗ hổng chưa được vá trên Windows

20/02/2017 16:13 PM | Công nghệ

Nghiêm trọng hơn khi cả các hacker cũng có thể biết về lỗ hổng này.

Nhóm Project Zero của Google lại một lần nữa làm Microsoft phải bẽ mặt khi tiết lộ công khai một lỗ hổng (đi kèm với bằng chứng về việc có thể khai thác) ảnh hưởng đến hàng loạt hệ điều hành Windows, từ Windows Vista Service Pack 2 cho đến Windows 10, và nó vẫn chưa được vá.

Một vài tháng trước đây, người khổng lồ về tìm kiếm này từng tiết lộ công khai một lỗ hổng nghiêm trọng trên Windows chỉ 10 ngày sau khi họ thông báo về lỗ hổng này cho Microsoft. Tuy nhiên, lỗ hổng lần này trên Windows lại được Google tiết lộ công khai chỉ sau khi Microsoft không đáp ứng được thời hạn 90 ngày để phát hành bản vá.

Vào ngày 9 tháng Sáu năm ngoái, Mateusz Jurczyk, một thành viên của nhóm Project Zero, là người chịu trách nhiệm thông báo cho nhóm bảo mật Microsoft Security Team về một lỗ hổng trong thư viện Graphics Device Interface (GDI) của Windows. Lỗ hổng này ảnh hưởng tới bất kỳ chương trình nào sử dụng thư viện này, và nếu bị khai thác, nó có thể cho phép các hacker ăn trộm thông tin từ bộ nhớ.

Trong khi Microsoft đã phát hành bản vá cho lỗ hổng này vào ngày 25 tháng Sáu, công ty vẫn chưa sửa chữa toàn bộ vấn đề trong thư viện GDI này. Điều này buộc nhà nghiên cứu từ nhóm Project Zero một lần nữa phải thông báo về nó tới Microsoft đi kèm với một “proof-on-concept” (một tài liệu chứng minh khả năng thành công của cách khai thác này) vào ngày 16 tháng Mười Một.

Kết quả là, nó có thể làm tiết lộ các byte trong bộ nhớ heap chưa được khởi tạo hoặc bị vượt quá giới hạn, thông qua các màu sắc pixel trên Internet Explorer và các client GDI khác, cho phép kẻ tấn công có thể trích xuất dữ liệu hình ảnh hiển thị trở lại trở lại mình.” Jurczyk cho biết trong báo cáo của mình.

Giờ, sau khi đưa ra một thời hạn 3 tháng để Microsoft phát hành bản vá, Google đã thông báo chi tiết về lỗ hổng này công khai, có nghĩa là ngay cả các hacker và những người thích săn lùng các lỗ hổng độc hại đều biết.

Nhóm Project Zero của Google thường xuyên tìm thấy lỗi bảo mật trong phần mềm khác nhau và sau đó kêu gọi những nhà cung cấp phần mềm tiết lộ công khai và phát hành bản vá lỗi trong vòng 90 ngày sau khi phát hiện chúng. Nếu không, công ty sẽ tự động phát hành chi tiết về lỗ hổng một cách công khai.

Cho dù vậy, người dùng Windows cũng không nên hoảng sợ, vì hacker sẽ cần phải được truy cập vật lý vào máy tính mục tiêu để khai thác lỗ hổng, tuy nhiên, người khổng lồ phần mềm tại Redmont vẫn cần phát hành bản vá khẩn cấp trước khi những cách khai thác tinh vi được phát triển.

Gần đây, vào ngày 14 tháng Hai, Microsoft đã trì hoãn phát hành bản cập nhật Patch Tuesday của tháng này thêm một tháng nữa do “một vấn đề xuất hiện vào phút chót, có thể tác động đến một vài khách hàng và không giải quyết kịp với thời hạn như kế hoạch của bản cập nhật.”

Vì vậy, trong khi bản vá khẩn cấp như kỳ vọng của tháng này sẽ không xuất hiện, lỗ hổng mới được tiết lộ này sẽ được để ngỏ cho các hacker khai thác trong vòng một tháng nữa – cũng có nghĩa là người dùng sẽ phải sống chung với nguy cơ bị khai thác trong suốt thời gian đó.

Theo Nguyễn Hải

Cùng chuyên mục
XEM