Yahoo sẽ công bố những lỗ hổng bảo mật mới phát hiện sau ba tháng

Yahoo cho biết sẽ công khai tiết lộ bất cứ lỗ hổng mới nào được đội ngũ bảo mật của họ phát hiện trong vòng 3 tháng.

Theo Chris Rohlf quản lí cao cấp pentest của Yahoo cho biết Yahoo tin rằng khoảng thời gian 3 tháng sẽ giúp đảm bảo các lỗ hổng được vá. “Là một phần trong nỗ lực giữ hệ thống của chúng tôi được an toàn, đội ngũ pentest đang tự thử nghiệm những cuộc tấn công lên chính hệ thống của chúng tôi và tìm ra những cách mới mà tin tặc có thể chọc thủng được hệ thống. Quá trình này giúp chúng tôi phát hiện ra lỗ hổng không chỉ trong phần mềm mà còn trong những sản phẩm mã nguồn mở thương mại mà chúng tôi sử dụng. Khi chúng tôi phát hiện ra một lỗ hổng chưa được biết đến trước đó (còn gọi là lỗ hỗng “zero day”), chúng tôi sẽ lập tức xử lí lỗ hổng trên hệ thống để bảo vệ người dùng. Trong khi quá trình này diễn ra, chúng tôi có thể thông báo cho cộng đồng mạng những ai có thể bị ảnh hưởng bởi lỗ hổng.”.

Ngoài ra, Chris Rohlf còn cho biết Yahoo phối hợp với  Computer Emergency Readiness Team (US-CERT) của Hoa Kỳ nhằm đảm bảo các lỗ hổng sẽ được gắn số hiệu (CVE – Common Vulnerabilities and Exposures) để quản lí và theo dõi dễ dàng. Yahoo đang nắm giữ tiêu chuẩn 90 ngày phát hiện và tiết lộ những lỗ hổng bảo mật. Yahoo có quyền kéo dài hoặc rút ngắn thời gian tùy thuộc vào hoàn cảnh. Nếu lỗ hổng không được vá công ty sẽ chia sẻ chi tiết kĩ thuật để các tổ chức khác có thể đánh giá rủi ro và thực hiện những hành động cần thiết.

Securityweek