Adobe tiết lộ lý do hoãn vá lỗ hổng Zero-day

Quản trị mạng - Hôm nay Adobe đã cho biết họ lựa chọn thời điểm vá lỗ hổng nguy hiểm trong PDF vào giữa tháng 01/2010 là do việc phát hành một bản cập nhật khẩn cấp sẽ làm đảo lộn lịch cập nhật bảo mật định kỳ quý.

Nếu người dùng không áp dụng một trong những phương pháp mà Adobe đã gợi ý đồng nghĩa với việc hệ thống sẽ bị để ngỏ trước các cuộc tấn công cho đến ngày 12/01 sang năm, thời điểm bản vá lỗ hổng nguy hiểm này được tung ra. Theo nhiều hãng bảo mật, lỗ hổng này có thể đã được tin tặc khai thác từ ngày 20/11, tuy nhiên cho đến thứ hai vừa qua Adobe mới phát hiện ra rằng lỗ hổng trong ứng dụng Reader và Acrobat đang được khai thác.

Brad Arkin, quản lý bảo mật và thông tin sản phẩm của Adobe, mô tả tình thế tiến thoái lưỡng nan mà công ty đang gặp phải “Chúng tôi có hai hướng giải quyết vào lúc này. Thứ nhất, chúng tôi có thể phát hành một bản vá ngoài luồng cho lỗ hổng này để loại bỏ nó ở mức nhanh nhất có thể. Thứ hai, chúng tôi sẽ phát hành bản vá vào ngày 12/01.”

Tuy nhiên, Arkin lại nhận xét rằng giải pháp thứ nhất, phát hành ngay một bản vá cho lỗ hổng Zero-day hiện tại tới người dùng chỉ sau hai hoặc ba tuần, có một vấn đề. Nếu buộc các kỹ sư tập trung vá Reader và Acrobat thì Adobe sẽ phải lùi ngày phát hành gói cập nhật định kỳ quý (đã được lên kế hoạch vào ngày 12/01) ít nhất là sang tháng 2.

Khi giải thích rằng Adobe sẽ không thể thực hiện cả hai hướng giải quyết (phát hành một bản vá khẩn cấp tới người dùng vào cuối tháng 12, sau đó quay trở lại với gói cập nhật bảo mật định kỳ và vẫn giữ đúng hạn định), Arkin nói “Ngoài ra, Adobe không còn phương án nào khác.”

“Do quá bận rộn trong mùa giáng sinh, chúng tôi đã quyết định có thể sẽ đưa bản vá này vào gói cập nhật ngày 21/01 dưới dạng mã, sau đó sẽ vẫn tiếp tục hoàn thiện nó”, Arkin tiếp.

Phương pháp mà Adobe chỉ dẫn cho người dùng trong bản hướng dẫn bảo mật được phát hành vào hôm thứ hai đã cho thấy quyết định của họ. Arkin tranh luận rằng “Chúng tôi cho rằng đây là một phương pháp hiệu quả, JavaScript Balcklist đã từng được chúng tôi nhắc đến trong gói cập nhật bảo mật được phát hành hồi tháng 10.”

Phần mềm khung JavaScript Blacklist Framework là một tính năng mới được Adobe bổ sung vào ứng dụng Reader và Acrobat cho phép người dùng và quản trị viên hệ thống máy tính doanh nghiệp khóa một số hàm JavaScript cụ thể, hay API (giao diện lập trình ứng dụng) để bảo vệ máy tính trước những cuộc tấn công thông thường mà không phải tắt bỏ mọi chức năng của JavaScript.

Arkin cho biết “Đây là lần đầu tiên chúng tôi sử dụng JavaScript Blacklist như một giải pháp khắc chế.” Kết quả của những cuộc thử nghiệm cho thấy chỉ cần tắt bỏ API “dễ bị tổn thương” thì người dùng sẽ được an toàn trước những cuộc tấn công khai thác quy mô lớn.

Adobe cũng lắng nghe ý kiến của người dùng về quyết định thực hiện cập nhật theo kế hoạch đã định. Sau những cuộc thảo luận này, Arkin kết luận rằng “Việc phát hành hai bản cập nhật, một trong tháng này để vá lỗ hổng nguy hiểm đang được khai thác, sau đó là một bản khác có thể được phát hành trong tháng 2, thì các tổ chức sẽ tốn kém hơn rất nhiều so với chỉ phải triển khai một bản cập nhật duy nhất.”





Thời gian cũng là một lý do quan trọng khiến Adobe trì hoãn phát hành một bản vá khẩn cấp. Ví dụ, kỳ nghỉ tới khiến các doanh nghiệp rất lo lắng vì không có gì đảm bảo rằng họ có thể thử nghiệm và triển khai một bản vá khẩn cấp trước khi hoạt động trở lại vào ngày 04/01. Ngoài ra, theo những gì Arkin nói, thời hạn ngày 12/01 cũng quan trong không kém đang cận kề.

Tháng 5 vừa qua, Adobe đã thay đổi tiến trình bảo mật cho những ứng dụng hiệu chỉnh và xem tài liệu PDF, một động thái trước làn sóng chỉ trích công ty này vì tiến trình vá rất chậm trạm trong nhiều tháng trước đó. Khi đó Adobe đã cam kết tăng tốc tiến trình vá, kiểm tra mã cũ để phát hiện lỗ hổng và phát hành các bản cập nhật cho Reader và Acrobat sau mỗi ba tháng.

Đề cập tới quyết định hoãn phát hành bản vá cho lỗ hổng đang bị khai thác, Arkin giải thích “Chúng tôi chỉ muốn nói rằng thời gian là một yếu tố không thể bỏ qua. Nếu chúng tôi hoàn thành công việc sớm hơn trong quý này, và nếu khẩn cấp, chúng tôi có thể phát hành một bản cập nhật ngoài luồng; tuy nhiên, thời điểm này đã cận kề với thời hạn phát hành bản cập nhật quý do đó chúng tôi phải cân nhắc những tác động của một bản ngoài luồng có thể mang lại.”

Arkin phủ nhận rằng Adobe thiếu khả năng để xử lý các bản cập nhật ngoài luồng trong khi vẫn thực hiện lịch cập nhật quý định kỳ, tuy nhiên ông lại thừa nhận rằng công ty không đủ tiềm lực tài chính để có một đội ngũ kỹ sư dự phòng chỉ để “ngồi chơi xơi nước” chờ đợi một sự cố bất ngờ xảy ra.

Arkin cũng không mang Adobe ra để so sánh với Microsoft vì nhóm bảo mật của “gã khổng lồ” luôn phải đối mặt với những vấn đề tương tự, nên Microsoft rất “nhuần nhuyễn” trong việc vừa phát hành một bản cập nhật khẩn cấp, lại vừa phát hành gói cập nhật định kỳ đúng thời hạn. Ông nói “Có quá nhiều sự khác biệt giữa chúng tôi và họ. Thực ra, các bạn không hề biết thời điểm họ lên kế hoạch mọi thứ. Ví dụ, họ có thể đã bắt tay vào phát triển một bản vá từ rất lâu, đến khi gần hoàn thiện lỗ hổng mới được công bố.”

Tóm lại, theo Arkin, bản cập nhật định kỳ quý là ưu tiên hàng đầu vì nó hướng vào đối tượng doanh nghiệp đang sử dụng sản phẩm của Adobe. “Những ý kiến mà tôi nhận được từ khách hàng là rất hữu ích. Thực ra họ đánh giá cao khả năng lên kế hoạch phát hành bản vá để họ có thể biết chính xác thời điểm triển khai”, Arkin cho biết.

Tuy nhiên. Arkin lại lảng tránh trả lời câu hỏi liệu bản câp nhật định kỳ có thể khiến người dùng gặp nhiều nguy hiểm hơn so với việc phát hành bản cập nhật bảo mật ngay lập tức? Thay vào đó, ông giới thiệu công cụ cập nhật cải tiến của Adobe, được cung cấp tới người dùng qua bản cập nhật bảo mật cho Reader và Acrobat vào tháng 10, nhưng chỉ áp dụng cho một số ít môi trường thử nghiệm.

Arkin nói rằng với những người dùng thông thường, chúng tôi có một trình cập nhật mới được phát hành trong tháng 10. Ông nói "Trình cập nhật này cung cấp hai lựa chọn khác nhau, bao gồm tải và cài đặt trong nền phụ mà người dùng không phải thực hiện bất kì thao tác nào. Nhắc nhở người dùng về một bản cập nhật khi họ đang sử dụng sản phẩm không phải là việc nên làm. Chúng tôi hi vọng công cụ này sẽ giúp người dùng cập nhật sản phẩm liên tục.”

Adobe sẽ bắt đầu sử dụng trình cập nhật mới này trong tháng tới để cung cấp các bản vá ngày 12/01 tới một số môi trường thử nghiệm, sau khi tiếp nhận ý kiến phản hồi từ những môi trường này, Adobe mới đưa ra quyết định cung cấp công cụ này tới người dùng.

Arkin thừa nhận rằng với mối quan tâm mới về bảo mật, Adobe có thể thực hiện tốt hơn nữa, như lấy thông tin về các cuộc tấn công đang được tiến hành nhanh hơn. Trong khi Adobe chỉ nghiên cứu lỗ hổng và cuộc tấn công khai thác thực hiện hôm thứ hai khi một số nhà cung cấp giải pháp bảo mật thông báo những phát hiện của họ, thì bằng chứng trong các bản ghi lọc cho thấy mã tấn công bắt đầu được gửi qua email tới nạn nhân từ ngày 20 tháng 11.

Arkin khẳng định Adobe sẽ cố gắng lấy thông tin về các cuộc tấn công từ các đối tác bảo mật sớm hơn nữa. “Chúng tôi đang tập trung lấy thông tin sớm nhất có thể. Có thể chúng tôi sẽ thực hiện một quyết định khác nếu biết được lỗ hổng này từ tháng 11”, Arkin nói.

Bản cập nhật bảo mật dành cho Reader và Acrobat sẽ bao gồm một số bản vá cho nhiều lỗ hổng khác đã được các nhà nghiên cứu bí mật thông báo cho Adobe. Arkin từ chối tiết lộ thông tin chi tiết về những gì, hay số lượng lỗ hổng sẽ được vá trong lần cập nhật này. Ông cho biết “Chúng tôi hi vọng bản cập nhật này sẽ không ‘đồ sộ’ như bản cập nhật được phát hành vào tháng 10 vừa qua.”

Vào ngày 13 tháng 10 vừa qua, thời điểm cập nhật bảo mật định kỳ quý vừa qua, Adobe đã vá tổng số 29 lỗ hổng trong Reader và Acrobat.
Thứ Bảy, 19/12/2009 10:12
31 👨 300
0 Bình luận
Sắp xếp theo