Google đưa người dùng Windows vào nguy hiểm khi công bố lỗi Zero-day

Một lần nữa, Google lại công bố một lỗi Zero-day trên Windows 10 trước khi có bản vá, và điều này không làm Microsoft vui vẻ gì. 

Thông tin về lỗ hổng đã được Google công khai chỉ 10 ngày sau khi báo cáo lỗi cho Microsoft, điều này khiến hãng sở hữu hệ điều hành Windows không đủ thời gian tung bản vá đến người tiêu dùng.

Google đưa người dùng Windows vào nguy hiểm khi công bố lỗi Zero-day

Nhóm phân tích các mối đe dọa của Google đã công bố một lỗi bảo mật zero-day trong Windows 10, lỗ hổng bảo mật mới này cho phép hacker có thể thoát khỏi sandbox – kỹ thuật rất quan trọng trong bảo mật, giúp hạn chế việc truy cập vào tài nguyên hệ thống của các ứng dụng ngoài, thông qua một lỗ hổng trong Win32k.

Theo nhóm phân tích bảo mật của Google, lý do của việc công bố này là họ đã thấy những cuộc tấn công thực tế, và theo nguyên tắc nội bộ thì các công ty cần phải vá hoặc công bố công khai về lỗi sau 7 ngày.

Lỗi Zero-day này được Google mô tả giúp hacker có thể nâng quyền hạn trên hệ thống, tồn tại trong lỗi hệ điều hành Windows. Nếu bị khai thác thì hacker có thể thoát khỏi môi trường bảo vệ của Sandbox và thực thi những đoạn mã gây nguy hiểm cho hệ thống.

Trong tuyên bố, phát ngôn viên Microsoft nói “Chúng tôi tin tưởng vào việc phối hợp trong tiết lộ lỗ hổng, và công bố ngày hôm nay của Google đã đặt khách hàng có nguy cơ tiềm ẩn, Windows là nền tảng duy nhất cam kết với khách hàng về điều tra vấn đề an ninh được báo cáo và chủ động cập nhật các thiết bị bị ảnh hưởng càng sớm càng tốt. Chúng tôi khuyến cáo khách hàng sử dụng Windows 10 và trình duyệt Microsoft Edge để bảo vệ tốt nhất.”

Đây là lần đầu tiên sau 3 năm Google thực hiện chính sách công khai lỗ hổng chỉ sau một thời gian ngắn tiết lộ với nhà phát triển, mặc dù thời gian được kéo dài thành 10 ngày. Theo giải thích từ các kỹ sư Google, đó là điều cần thiết để các nhà phát triển tập trung nhanh hơn vào việc giải quyết lỗi.

Theo Google, người dùng cần cập nhật Adobe Flash lên phiên bản mới nhất và cập nhật bản vá lỗi mới nhất đến từ Microsoft.

Theo TheHackerNews