IE cần được vá lỗi thường xuyên hơn

Một trong những lý do khiến trình duyệt Internet Explorer (IE) thường xuyên bị tấn công là do Microsoft đã không chú ý đến vấn đề bảo mật và vá lỗi cho nó.

Theo nhiều chuyên gia bảo mật và an ninh mạng, sai lầm lớn nhất của Microsoft trong lĩnh vực bảo mật cho trình duyệt web là đã bắt IE phải thường xuyên “ăn theo” hệ điều hành Windows. Các lỗ hổng trên IE thường tồn tại khá lâu bởi Microsoft không thể phát hành bản vá cho riêng nó mà buộc phải đợi “đi kèm” cùng một bản vá nào đó cho Windows. Nếu IE có cơ chế cập nhật và vá lỗi thường xuyên hơn, thậm chí là hàng ngày như Firefox và Chrome vẫn đang làm thì có lẽ người dùng đã không bị tấn công nhiều như thế.

“Trình duyệt là ứng dụng hoạt động 'tất bật' nhất hiện nay bởi nó vừa phải giao tiếp với mạng Internet vừa phải chứa nội dung và vật lộn với đủ các thể loại mã độc. Chính vì thế các lỗ hổng của trình duyệt cần phải được vá một cách nhanh chóng nhất với độ ưu tiên cao nhất”, Wolfgang Kandek, Giám đốc công nghệ (CTO) của hãng bảo mật Qualys Inc nói.

Nhưng điều đó đã không xảy ra trong thế giới thực, các hãng phần mềm vẫn coi bản vá cho trình duyệt giống như những bản vá thông thường khác. Theo dữ liệu mà Qualys đã thu thập được từ hàng trăm ngàn máy tính sử dụng Windows, trình duyệt IE là ứng dụng ít được cập nhật và vá lỗi nhất.

Giải pháp cho vấn đề này thực ra khá đơn giản, chỉ cần các máy chủ của Microsoft đưa ra các đường link cập nhật bản vá cho riêng IE, không phụ thuộc vào Windows nữa thì khách hàng sẽ dễ tìm kiếm và áp dụng hơn. "Nếu Microsoft tách riêng IE ra và đưa nó trở thành một ứng dụng độc lập tôi nghĩ trình duyệt này không đến nỗi tệ như hiện nay" Kandek nói.

Nhưng điều đó đồng nghĩa với việc Microsoft phải thay đổi hoàn toàn cơ chế hoạt động của Windows Update bởi từ trước đến nay Windows vẫn cần phải dùng đến IE để cập nhật các bản vá mới. Nhưng công việc này không phải là quá khó với Microsoft và vấn đề là họ có muốn làm hay không mà thôi. "Người dùng chúng tôi sẽ được bảo vệ một cách hiệu quả hơn nếu IE được đưa ra khỏi Windows và không phải phụ thuộc vào các bản vá hàng tháng của nó", Kandek phát biểu.

Ngoài việc đó, Microsoft cũng cần phải từ bỏ “thói quen” cập nhật cho IE theo thời hạn hàng tháng mà thay vào đó là cập nhật hàng ngày hay chí ít là phải phát hành bản vá ngay khi phát hiện lỗ hổng.

Về phương diện này thì khách hàng của Firefox và Chrome rõ ràng là được phục vụ tốt hơn rất nhiểu. Với Firefox, người dùng sẽ nhận được một thông báo ngay khi có bản cập nhật mới và chỉ cần click chuột vào nút OK để tải và cài đặt bản vá. Trên trình duyệt mới của hãng tìm kiếm Google là Chrome, người dùng thậm chí còn không cần phải làm gì vì hàng ngày nó tự động kiểm tra xem có bản vá mới hay không và nếu có thì Chrome sẽ tự động tải về và cài đặt mà người dùng có thể không biết.

Cảnh báo này của các chuyên gia cũng có phần trách nhiệm của người dùng IE trong đó có cả các doanh nghiệp. "Tôi nghĩ là các bạn cần phải suy nghĩ lại về cái gọi là lòng tin đối với Microsoft hay chất lượng thực trong sự kiểm soát và bảo vệ phần mềm của họ" Kandek kết luận.