Microsoft đã chỉ trích nặng nề Google và chính sách tiết lộ bảo mật trong 90 ngày của họ sau khi công ty lần lượt tiết lộ hai lỗ hổng zero-day trong hệ điều hành Windows 8.1 của Microsoft chỉ vài ngày trước khi Microsoft lên kế hoạch phát hành một bản vá để tiêu diệt các lỗi này. Nhưng, có vẻ như Google không nghĩ gì cả.
Một lần nữa, Google đã công khai tiết lộ lỗ hổng nghiêm trọng mới trong Windows 7 và Windows 8.1 trước khi Microsoft có thể tạo ra một bản vá, khiến người dùng của cả hai hệ điều hành tiếp xúc với tin tặc cho đến tháng sau, khi công ty có kế hoạch cung cấp bản sửa lỗi.
CÔNG BỐ LỖI CHƯA ĐƯỢC KHẮC PHỤC, TỐT HAY XẤU?
Chính sách tiết lộ chặt chẽ trong 90 ngày của Google dường như là một động thái tốt để tất cả các nhà cung cấp phần mềm vá lỗi sản phẩm của họ trước khi chúng bị tin tặc và tội phạm mạng khai thác. Nhưng đồng thời, tiết lộ tất cả các lỗi nghiêm trọng cùng với các chi tiết kỹ thuật của nó trong hệ điều hành được sử dụng rộng rãi như Windows 7 và 8 dường như cũng không phải là một quyết định đúng đắn. Trong cả hai trường hợp, người duy nhất phải chịu thiệt hại là những người dùng vô tội.
Tiết lộ về lỗ hổng bảo mật cũng là một phần Dự án Zero của Googlemột sáng kiến xác định các lỗ hổng bảo mật trong các phần mềm khác nhau và kêu gọi các công ty tiết lộ công khai cũng như vá lỗi trong vòng 90 ngày kể từ khi phát hiện ra chúng.
Chris Betz, giám đốc cấp cao của Trung tâm phản hồi bảo mật của Microsoft, đã viết rằng động thái của Google “cảm thấy ít giống như các nguyên tắc và giống như một ‘gotcha’ hơn, với kết quả là khách hàng có thể phải chịu hậu quả.” Ông tiếp tục, “Điều gì phù hợp với Google không phải lúc nào cũng phù hợp với khách hàng. Chúng tôi kêu gọi Google coi việc bảo vệ khách hàng là mục tiêu chính chung của chúng tôi.“
Lần này, gã khổng lồ công cụ tìm kiếm đã phát hiện ra một lỗ hổng trong chức năng mã hóa bộ nhớ CryptProtectMemory được tìm thấy trong Windows 7 và 8.1 và xuất hiện trong cả kiến trúc 32 và 64 bit, có thể vô tình tiết lộ thông tin nhạy cảm hoặc cho phép kẻ gian lận vượt qua kiểm tra bảo mật. rõ ràng.
MICROSOFT SẼ GIAO BẢN VÁ VÀO THÁNG 2 NĂM 2015
Lần đầu tiên Google thông báo cho Microsoft về lỗ hổng trong Windows 7 và 8.1 vào ngày 17 tháng 10 năm 2014. Sau đó, Microsoft xác nhận các vấn đề bảo mật vào ngày 29 tháng 10 và nói rằng các nhà phát triển của họ đã cố gắng tạo lại lỗ hổng bảo mật. Bản vá cho lỗ hổng bảo mật được lên lịch vào ngày 10 tháng 2, Bản vá Thứ Ba tới.
Lỗ hổng được tìm thấy bởi James Forshaw, người cũng đã phát hiện ra một “lỗ hổng nâng cao đặc quyền” trong Windows 8.1, được tiết lộ vào đầu tuần này và bị Microsoft chỉ trích mạnh mẽ. Lỗi mới được phát hiện thực sự nằm trong quá trình triển khai CNG.sys, không thể chạy kiểm tra mã thông báo thích hợp.
“Vấn đề là việc triển khai trong CNG.sys không kiểm tra mức mạo danh của mã thông báo khi lấy ID phiên đăng nhập (sử dụng SeQueryAuthenticationIdToken) để người dùng bình thường có thể mạo danh ở cấp Nhận dạng và giải mã hoặc mã hóa dữ liệu cho phiên đăng nhập đó,” James Forshaw nói trong bài tiết lộ lỗ hổng.
“Hành vi này tất nhiên có thể là thiết kế; tuy nhiên, không phải là bên tham gia thiết kế, thật khó để nói.“
Đây là lần thứ ba trong vòng chưa đầy một tháng Project Zero của Google công bố chi tiết về lỗ hổng bảo mật trong hệ điều hành của Microsoft, tuân theo chính sách về thời hạn tiết lộ công khai trong 90 ngày. Vài ngày trước, Google đã công bố chi tiết về một lỗi leo thang đặc quyền mới trong hệ điều hành Windows 8.1 của Microsoft chỉ hai ngày trước khi Microsoft lên kế hoạch vá lỗi này.
