Google: Nguy hiểm cho người dùng khi Microsoft không vá Windows cùng một cách trên các OS

Nhóm bảo mật hàng đầu của Google, Project Zero, nói rằng Microsoft đang khiến người dùng gặp nguy hiểm khi không có sự đồng nhất khi vá các phiên bản hệ điều hành Windows.

Một trong các nhà nghiên cứu của Google đưa ra kết luận này sau khi phát hiện ra lỗ hổng CVE-2017-8680, lỗ hổng chỉ ảnh hưởng Windows 7 và 8.1, chứ không tác động tới Windows 10. Phân tích sâu hơn cho thấy Microsoft đã vá nội bộ nhưng không đưa ra cho các OS khác.

Nhận ra có gì đó không ổn, nhà nghiên cứu Mateusz Jurczyk đã tìm hiểu sâu hơn bằng cách so sánh cập nhật mới đây nhất của Windows 7, 8.1 và 10.

Vá không đồng nhất nuôi dưỡng cho các lỗi mới

Jurczyk sau đó đã phát hiện ra bản vá cho một số lỗi được áp dụng theo những cách khác nhau cho từng OS khác nhau, dẫn tới lỗi mới. Nhờ đó anh phát hiện ra CVE-2017-8684 và CVE-2017-8685, 2 lỗ hổng chỉ ảnh hưởng tới Windows GDI+ trên Windows 7 và 8.1.

Mã vá khác nhau tạo ra nguồn lỗ hổng

Jurczyk cố đưa tới kết luận là “sự khác biệt trong các lỗi bảo mật tương tự nhau ở các phiên bản khác nhau của cùng 1 sản phẩm có thể giúp mã độc phát hiện ra điểm yếu quan trọng hoặc chỉ là các lỗi thông thường trên những phiên bản cũ”.

Các bản vá Windows khác nhau giúp tạo môi trường cho lỗi mới

Các đoạn mã vá khác nhau cho phép kẻ tấn công tạo ra nguồn lỗ hổng (hướng tấn công). Ngay khi Microsoft phát hành cập nhật, kẻ tấn công có thể so sánh các bản vá của Windows 7, 8.1 và 19, tìm ra điểm không tương đồng có thể tạo ra lỗi mới.

Nhà nghiên cứu cũng chỉ ra rằng Patch & Diff là cách đơn giản. “Kẻ tấn công không chuyên cũng có thể dễ dàng sử dụng để xác định 3 lỗ hổng mới đề cập bên trên”.

Phần mềm khác có thể bị ảnh hưởng

Với Windows thì như vậy, vấn đề vá không đồng nhất cũng có thể ảnh hưởng tới các phần mềm khác như của Oracle, Linux hay Cisco… “Chúng tôi khuyến khích áp dụng các bản vá bảo mật đồng nhất trên các phiên bản phần mềm được hỗ trợ”, Jurczyk.