Google công bố lỗ hổng chưa được vá trên Windows 8.1 và những cuộc tranh luận

Một nhà nghiên cứu của Google đã tiết lộ một lỗ hổng chưa được vá trong Windows 8.1 sau khi Microsoft đã không giải quyết vấn đề trong  thời hạn 90 ngày mà Google đã “ra hạn” cho đối thủ cạnh tranh.

Việc công bố lỗi trên trang web nghiên cứu bảo mật của Google vào đầu tuần làm dấy lên một cuộc tranh luận về việc liệu công bố lỗ hổng là thích hợp. Lỗi này cho phép người dùng Windows thông thường trở thành quản trị viên (Administrator) trong một số trường hợp, nhưng một số nhà quảng cáo trên các trang web của Google cho biết công ty không nên công bố lỗi này. Google cho biết hiện không rõ liệu các phiên bản của hệ điều hành Windows trước 8.1 có bị ảnh hưởng bởi lỗi này không.

“Tự động tiết lộ lỗ hổng này khi đến thời hạn như vậy khiến tôi cảm thấy đây là một sự vô trách nhiệm cực kỳ và tôi đã mong đợi một mức độ quan tâm và thận trọng hơn từ một công ty như Google”, một nhà quảng cáo tại trang web Google đã viết.

Lỗ hổng này là lỗ hổng leo thang đặc quyền “trung bình”, một nhà quảng cáo khác bình luận. “Đó là điều tồi tệ và không may, nhưng nó cũng là một loại lỗ hổng khá điển hình, và không khiến tôi mất quá nhiều thời gian để vá nó”, nhà quảng cáo nói. “Thực tế đáng buồn là các loại lỗ hổng như vậy có hàng tá trên Windows.”

Một nhà quảng cáo khác nhận định các phiên bản của Windows bị ảnh hưởng đã được điều hành bởi hàng “tỷ” người dùng máy tính. “Việc công khai lỗ hổng như thế này cho đến nay đã đạt kết quả”, nhà quảng cáo viết. “Mọi người có thể bị tổn thương bởi điều này và nó không mang lại một giải pháp hiệu quả. Khi một tổ chức lớn và có sức mạnh như Google, những người làm việc ở đó cần phải suy nghĩ như những người quản lý có một quyền lực lớn và làm việc để có sự công bằng và điều tiết các tác hại có có thể ảnh thưởng đến quyền lực lớn này”.

Đó có phải là một giá trị bí mật?

Các nhà quảng cáo khác ca ngợi Google đã tuân thủ deadline họ đặt ra kể từ khi họ ra mắt đội truy tìm lỗ hổng Project Zero vào tháng Bảy năm ngoái. “Không ai làm tốt bằng cách giữ bí mật”, một nhà quảng cáo đã viết. “Bởi tiết lộ chúng (lỗ hổng) cho phép hàng tỷ người dùng chạy hệ thống dễ bị gây hại biết nhận thức các mối đe dọa đối với an ninh của chính họ và biện pháp đối phó. Một miếng vá không phải là cách duy nhất để giảm thiểu vấn đề này. Do tính chất của lỗ hổng này, có những bước khác các quản trị viên có thể làm để bắt đầu bảo vệ hệ thống dễ bị gây hại của họ trong khi chờ đợi một bản vá”.

Trong một tuyên bố, Microsoft cho biết họ đang làm việc để công bố một bản cập nhật bảo mật cho các lỗ hổng được báo cáo. “Điều quan trọng là cần lưu ý rằng đối với một kẻ tấn công có khả năng khai thác một hệ thống, đầu tiên họ sẽ cần phải có các thông tin đăng nhập hợp lệ và có thể đăng nhập cục bộ vào một máy mục tiêu”, một phát ngôn viên cho biết bằng email. “Chúng tôi khuyến khích khách hàng cập nhật phần mềm chống virus của họ, cài đặt tất cả các bản cập nhật bảo mật có sẵn và bật tường lửa trên máy tính của họ”.

Google, trong một tuyên bố đăng trên Engadget, bảo vệ việc công bố thông tin lỗ hổng bảo mật.

90 ngày cuối cùng của Google cho việc sửa lỗi là “kết quả của nhiều năm xem xét cẩn thận và thảo luận toàn ngành về khắc phục hậu quả lỗ hổng”, công ty cho biết. “Các nhà nghiên cứu bảo mật đã sử dụng các nguyên tắc công khai tương tự trong 13 năm qua … và chúng tôi nghĩ rằng các nguyên tắc công bố thông tin của chúng tôi cần phải phát triển với các hệ sinh thái infosec thay đổi. Nói cách khác, vì mối đe dọa thay đổi, dẫn tới chính sách công bố thông tin của chúng tôi”.

Google sẽ theo dõi những tác động của chính sách một cách chặt chẽ, công ty nói thêm. “Chúng tôi muốn quyết định của chúng tôi ảnh hưởng tới sự bảo mật của dữ liệu, và chúng tôi đang liên tục tìm kiếm các cải tiến có lợi cho việc bảo mật cho người dùng”, hãng cho biết thêm. “Chúng tôi vui mừng nói rằng kết quả ban đầu đã chỉ ra rằng phần lớn các lỗi mà chúng tôi đã báo cáo theo thời hạn công bố thông tin được sửa theo thời hạn, đó là một minh chứng cho sự nỗ lực của các nhà cung cấp”.

Pcworld