Google xung đột với Microsoft về việc công bố lỗ hổng trên Windows

Microsoft lập luận rằng Google không hợp tác về việc công bố lỗ hổng

Google và Microsoft đang tranh cãi nhau về việc tiết lộ những lỗ hổng bảo mật. Vào thứ hai, Google đã tiết lộ một lỗ hổng nghiêm trọng trong Windows sau khi đã cho Microsoft một cửa sổ thông báo trong mười ngày để cảnh báo công chúng về điều này.

Google đã đăng về lỗ hổng lần đầu tiên trên blog bảo mật của mình, nói rằng Microsoft vẫn chưa công bố về việc sửa chữa hoặc đưa ra lời khuyên về các lỗ hổng phần mềm.

“Lỗ hổng này là đặc biệt nghiêm trọng bởi vì chúng tôi biết nó đang được tích cực khai thác”, Google cho biết. Nó cho phép tin tặc khai thác một lỗi trong  Windows, thông qua một hệ thống gọi win32k.sys, để bỏ qua hệ thống “hộp cát” an ninh.

Gã khổng lồ về công cụ tìm kiếm ban đầu nói với Microsoft về vấn đề này 10 ngày trước, vào ngày 21/10. Google đã chờ đợi việc tiết lộ công khai bất cứ điều gì về nó để Microsoft có thể sửa chữa vấn đề này trước tiên. Nhưng Google có chính sách nghiêm ngặt trong việc chỉ cho các nhà cung cấp bảy ngày để đưa ra biện pháp khắc phục hoặc đưa ra cảnh báo về một lỗ hổng.

“Bảy ngày là một khoảng thời gian gấp gáp và có thể là quá ngắn đối với một số nhà cung cấp để cập nhật các sản phẩm của họ”, Google cho biết trong một bài đăng trên blog năm 2013. “Nhưng nó chắc chắn có đủ thời gian để đưa ra lời khuyên về các giải pháp giảm thiểu những tác động có thể xảy ra.”

Microsoft kịch liệt phản đối động thái của Google. “Chúng tôi tin rằng việc công bố lỗ hổng được phối hợp, và công bố ngày hôm nay của Google có thể đặt khách hàng vào nguy cơ tiềm ẩn”, công ty cho biết trong một email hôm thứ Hai.

Đây không phải là lần đầu tiên hai công ty đã bất đồng về việc tiết lộ một lỗ hổng. Trong năm 2015, Google tiết lộ những lỗ hổng chưa được công khai rõ trong Windows trước khi Microsoft có cơ hội để phát hành các bản điều chỉnh. Điều này khiến cho Microsoft khiếu nại.

Mặc dù Google đã trì hoãn thời gian công bố thông tin, nhưng quyết định dường như không phải hoàn toàn vì các nguyên tắc mà phần nhiều như là việc “Bắt được rồi”, với những khách hàng là những người có thể gặp phải như là kết quả tất yếu”, công ty cho biết vào thời điểm đó.

Brian Martin, giám đốc tìm kiếm lỗ hổng tại Risk Based Security, cho biết sẽ là điều không thể đối với Microsoft để đưa ra một bản khắc phục trong bảy ngày. Khắc phục một lỗ hổng Windows có thể có nghĩa là giải quyết các vấn đề trong các nền tảng khác nhau của hệ điều hành và đảm bảo rằng kết quả của các bản nâng cấp không làm gián đoạn bất kỳ của các chương trình hiện có, ông nói.

“Nó quá phức tạp để làm điều đó chỉ trong vài ngày,” Martin nói. Tuy nhiên, Google đã có một số biện minh khi cảnh báo công chúng, cho rằng hacker đã khai thác lỗ hổng này”, ông nói.

“Nó trở lại một cuộc tranh luận dai dẳng về nên cho phép khoản thời gian bao lâu” ông nói. “Trong trường hợp này, bởi vì các lỗ hổng đã được khai thác trong thực tế, nó buộc Microsoft phải lên lịch trình của họ.”

Google cho biết, trên Windows 10, trình duyệt Chrome sẽ ngăn chặn các vấn đề xảy ra. Sử dụng sandbox riêng của mình, trình duyệt có thể chặn hệ thống win32k.sys.

Be the first to comment

Leave a Reply

Your email address will not be published.


*