Google: Nguy hiểm cho người dùng khi Microsoft không vá Windows cùng một cách trên các OS
Nhóm bảo mật hàng đầu của Google, Project Zero, nói rằng Microsoft đang khiến người dùng gặp nguy hiểm khi không có sự đồng nhất khi vá các phiên bản hệ điều hành Windows.
Một trong các nhà nghiên cứu của Google đưa ra kết luận này sau khi phát hiện ra lỗ hổng CVE-2017-8680, lỗ hổng chỉ ảnh hưởng Windows 7 và 8.1, chứ không tác động tới Windows 10. Phân tích sâu hơn cho thấy Microsoft đã vá nội bộ nhưng không đưa ra cho các OS khác.
Nhận ra có gì đó không ổn, nhà nghiên cứu Mateusz Jurczyk đã tìm hiểu sâu hơn bằng cách so sánh cập nhật mới đây nhất của Windows 7, 8.1 và 10.
Vá không đồng nhất nuôi dưỡng cho các lỗi mới
Jurczyk sau đó đã phát hiện ra bản vá cho một số lỗi được áp dụng theo những cách khác nhau cho từng OS khác nhau, dẫn tới lỗi mới. Nhờ đó anh phát hiện ra CVE-2017-8684 và CVE-2017-8685, 2 lỗ hổng chỉ ảnh hưởng tới Windows GDI+ trên Windows 7 và 8.1.
Mã vá khác nhau tạo ra nguồn lỗ hổng
Jurczyk cố đưa tới kết luận là “sự khác biệt trong các lỗi bảo mật tương tự nhau ở các phiên bản khác nhau của cùng 1 sản phẩm có thể giúp mã độc phát hiện ra điểm yếu quan trọng hoặc chỉ là các lỗi thông thường trên những phiên bản cũ”.
Các bản vá Windows khác nhau giúp tạo môi trường cho lỗi mới
Các đoạn mã vá khác nhau cho phép kẻ tấn công tạo ra nguồn lỗ hổng (hướng tấn công). Ngay khi Microsoft phát hành cập nhật, kẻ tấn công có thể so sánh các bản vá của Windows 7, 8.1 và 19, tìm ra điểm không tương đồng có thể tạo ra lỗi mới.
Nhà nghiên cứu cũng chỉ ra rằng Patch & Diff là cách đơn giản. “Kẻ tấn công không chuyên cũng có thể dễ dàng sử dụng để xác định 3 lỗ hổng mới đề cập bên trên”.
Phần mềm khác có thể bị ảnh hưởng
Với Windows thì như vậy, vấn đề vá không đồng nhất cũng có thể ảnh hưởng tới các phần mềm khác như của Oracle, Linux hay Cisco… “Chúng tôi khuyến khích áp dụng các bản vá bảo mật đồng nhất trên các phiên bản phần mềm được hỗ trợ”, Jurczyk.

- Google sẽ cho phép người dùng lưu trữ trên mạng?
- Cảnh báo lần cuối cho người dùng Windows 98, ME
- Google sửa lỗi Gmail cho người dùng Windows Mobile
- Google cho người dùng tự đặt ảnh nền trang chủ tìm kiếm
- Không có IE10 cho người dùng Windows Vista
- 5 cách đảm bảo người dùng không bị “theo dõi” trên Internet
- Google cho phép chạy ứng dụng Windows trên Chromebook
-
Nhận thức và kinh nghiệm - yếu tố quan trọng bậc nhất trong mọi quy trình bảo mật mạng
-
Thêm một hacker trở thành triệu phú USD từ mạng lưới 'thợ săn lỗi bảo mật' HackerOne
-
Cảnh báo: Chiến dịch phát tán mã độc núp bóng email quà tặng từ Amazon
-
Dịch vụ đám mây của Microsoft bị tấn công! Thông tin chi tiết của người dùng đang gặp rủi ro
-
Google Project Zero tiết lộ lỗ hổng leo thang đặc quyền nghiêm trọng trong Windows
-
Ransomware Task Force (RTF) là gì?