Nguy hiểm khi công bố lỗi bảo mật Windows 8.1

| 10:00 - 07/01/2015

Một lỗi bảo mật cấp độ 0-day chưa có bản vá trong Windows 8.1 vừa được Google công khai chi tiết sau 90 ngày thông báo đến Microsoft.

Lỗi bảo mật dạng zero-day (chưa có bản vá) mang nguy cơ ảnh hưởng đến nhiều triệu thiết bị dùng Windows 8.1 trên thế giới - Ảnh minh họa: TheHackerNews
Lỗi bảo mật dạng zero-day (chưa có bản vá) mang nguy cơ ảnh hưởng đến nhiều triệu thiết bị dùng Windows 8.1 trên thế giới - Ảnh minh họa: TheHackerNews

Một lỗi nguy hiểm dạng "đặc quyền leo thang" (privilege escalation) trong Windows 8.1 đã được khám phá bởi chuyên gia nghiên cứu James Forshaw thuộc dự án bảo mật Project Zero của Google, và thông báo đến Microsoft vào tháng 9-2014.

James Forshaw cho biết đã thử nghiệm chương trình khai thác lỗi (PoC) trên một hệ thống dùng Windows 8.1 (cả 32-bit và 64-bit) đã cập nhật bản vá mới nhất, và chưa rõ các phiên bản Windows trở về trước như Windows 7 có bị ảnh hưởng bởi lỗi này hay không.

Sau khi cảnh báo đến Microsoft, theo kỳ hạn 30 ngày cho nhà sản xuất khắc phục, lỗi bảo mật này đã được công bố chi tiết trong tuần qua, bao gồm mã khai thác lỗi (PoC).

Lỗi tiềm ẩn nguy cơ cho phép một người đã đăng nhập vào Windows 8.1 thực thi các mã tùy ý trên các máy tính với quyền hạn của tài khoản quản trị (Administrator).

Microsoft xác nhận về lỗi nguy hiểm tồn tại trong Windows 8.1 và cho biết đang phát triển bản vá lỗi. Microsoft khuyến cáo người dùng Windows chạy chương trình anti-virus và cập nhật cơ sở dữ liệu mới nhất, cài đặt tất cả bản vá phát hành theo kênh Microsoft Security Updates và luôn kích hoạt "tường lửa" (firewall) trên máy tính.

Tại thời điểm bài viết này đăng tải, tất cả các máy tính, hệ thống dùng Windows 8.1 "phơi mình" trước nguy cơ tấn công khai thác lỗi từ hacker. Microsoft chưa công bố thời điểm phát hành bản vá, hay đưa vào gói cập nhật định kỳ Patch Tuesday hằng tháng, rơi vào ngày 13-1-2015 sắp tới.

Nhiều phản hồi không đồng tình Google đã quá "máy móc" công bố ngay lập tức một lỗi ở cấp độ nguy hiểm cho người dùng Windows, phạm vi ảnh hưởng lớn. Đồng thời cũng "chê trách" Microsoft đã chậm chạp trong việc phát hành bản vá khắc phục lỗi.

Project Zero được Google thành lập vào tháng 7-2014 với mục tiêu khám phá các lỗi bảo mật, lỗ hổng trong các phần mềm được sử dụng rộng rãi như Adobe Flash, Java... Nhóm chuyên gia nghiên cứu từ Project Zero chuyên khám phá các lỗ hổng thuộc dạng 0-day hay zero-day, tức các lỗi chưa có bản vá từ nhà sản xuất.