Google đã công khai một lỗ hổng an ninh nghiêm trọng trên Windows chỉ 10 ngày sau khi thông báo cho Microsoft. 10 ngày liệu có đủ để hoàn thành bản vá?

Google cong khai lo hong nghiem trong tren Windows khien Microsoft 'noi cau' - Anh 1

Nhóm phân tích các mối hiểm họa của Google vừa công khai một lỗ hổng nghiêm trọng của Windows trên blog bảo mật của hãng. Lổ hổng này rất cụ thể, cho phép kẻ tấn công thoát khỏi các sandbox bảo mật thông qua một lỗi trên hệ thống win32bit.

Theo Google thì lỗi này lớn đến mức được xếp hạng là “nghiêm trọng” và đang bị khai thác. Điều khiến Microsoft “sốc” nhất là Google đã công khai thông tin này chỉ 10 ngày sau khi báo cho Microsoft khiến gã khổng lồ phần mềm không kịp hoàn thành và triển khai bản vá. Và kết quả là khi Google đã triển khai xong bản vá để bảo vệ những người dùng Chrome thì chính hệ điều hành Windows lại vẫn tồn tại một lỗ hổng “to tướng”, thậm chí tệ hơn nữa là giờ ai cũng biết đến lỗ hổng đó.

Trong phần tiết lộ của mình, Google chỉ đưa ra những mô tả chung chung về lỗ hổng này, cung cấp cho người dùng đủ thông tin để nhận ra các khả năng tấn công nhưng cũng không tạo điều kiện dễ dàng cho tội phạm khai thác lỗ hổng. Việc khai thác lỗ hổng sẽ dựa trên một lỗ hổng riêng biệt trên Adobe Flash mà công ty Adobe đã tung ra bản vá. Thế nhưng, chỉ cần biết được rằng có một lỗ hổng nào đó tồn tại thì cũng đủ kích thích để rất nhiều tên tội phạm tìm ra cách khai thác và tấn công những máy tính chưa cập nhật Flash.

Ngay sau hành động này của Google, Microsoft đã nhấn mạnh trong một tuyên bố: “Hành động ngày hôm nay của Google đẩy khách hàng vào tình thế hiểm nguy tiềm tàng. Chúng tôi đề nghị khách hàng sử dụng Windows 10 và trình duyệt Edge để được bảo vệ tốt nhất”, theo phát ngôn viên của công ty.

Việc tiết lộ thông tin về lỗ hổng này ra cộng đồng là phù hợp với chính sách của Google được thực thi từ năm 2013, cho phép công khai các lỗ hổng nghiệm trong chỉ 7 ngày sau khi thông báo với bên bán sản phẩm. Lúc đó, nhiều nhà nghiên cứu đã chỉ trích chính sách này là quá thô bạo và 7 ngày là không đủ để xử lý một lỗ hổng phức tạp. Trong vòng 3 năm kể từ khi chính sách này được thực thi, đây là lần đầu tiên một lỗ hổng lớn như vậy được đưa ra công khai trong một thời gian ngắn, mặc dù các kỹ sư Google vẫn bảo vệ chính sách của mình và cho rằng điều đó là cần thiết.

Google cũng đưa ra một số lời khuyên cho người dùng như sau: “Chúng tôi khuyến khích người sử dụng xác nhận rằng những chế độ cập nhât tự động cũng bao gồm cả bản cập nhật của Flash, nếu không thì hãy cập nhật thủ công Flash ngay và sử dụng bản vá của Windows từ Microsoft khi bản vá này xuất hiện”.

Lê Kiên (Theo The Verge)