Quản trị mạng - Công ty bảo mật đã thông báo về lỗ hổng trong ActiveX Control cho Microsoft tiết lộ rằng ba lỗ hổng nguy hiểm mà Microsoft vá hôm thứ 3 trong ActiveX Control cho Office lần đầu tiên được thông báo cho công ty này cách đây đã hai năm.
Cả ba lỗi này đều được phát hiện bởi ZDI (Zero Day Initiative), một chương trình do TippingPoint Technologies (bộ phận nghiên cứu và phát triển bảo mật của 3Com) thực hiện. Ba trong số bốn lỗ hổng được Microsoft vá vào hôm thứ 3 vừa qua là của OWC (Office Web Components), gồm một nhóm ActiveX Control cho phép người dùng đăng tài liệu Word, Excel và PowerPoint lên web, sau đó sử dụng trình duyệt Internet Explorer để xem chúng.
Một trong số lỗ hổng mà Tipping Point phát hiện nằm trong ActiveX Control mà IE sử dụng để hiển thị bảng tính Excel đã bị tin tặc khai thác từ hơn một tháng trước để thực hiện các cuộc tấn công điều khiển từ những website độc hay những website bị chiếm quyền.
Trong một số báo cáo của ZDI được đăng lên mạng ngày hôm qua, TippingPoint cho biết họ đã thông báo hai lỗ hổng này cho Microsoft từ tháng 3 năm 2007, và lỗ thứ ba được thông báo vào tháng 12 cũng trong năm đó.
Hôm nay, Cody Pierce, nhà nghiên cứu bảo mật của TippingPoint, nói rằng “Nói chung, Microsoft là một trong những nhà cung cấp hàng đầu mà chúng tôi cộng tác để vá lỗ hổng trong một giai đoạn nhất định. Tuy nhiên rất khó khẳng định thời hạn có được đảm bảo hay không.”
Mặc dù Microsoft đã biết hai lỗ hổng này cách đây 29 tháng, và lỗ hổng thứ 3 được 20 tháng, Pierce vẫn ngần ngại khi chỉ trích Microsoft vì đã không vá những lỗ hổng này sớm hơn. Ông nói “Những lỗ hổng giống như những lỗ hổng được phát hiện trong tháng này khá phức tạp, đôi khi nhà phát triển có thể mất nhiều năm để cho ra một bản vá.”
Pierce cũng xác nhận rằng lỗ hổng đầu tiên trong ba lỗ hổng được TippingPoint phát hiện đã bị tin tặc khai thác từ hơn một tháng trước đó. Lỗ hổng này được TippingPoint thông báo cho Microsoft vào ngày 19/03/2007.
Vào ngày 13/07 vừa qua, một ngày trước khi bản cập nhật bảo mật tháng được tung ra, Microsoft đã cảnh báo người dùng rằng tin tặc đang sử dụng IE để tấn công họ. Cũng trong ngày hôm đó, công ty bảo mật Sophos có trụ sở tại Anh quốc cho biết họ đã phát hiện ra nhiều website, phần lớn là những website của Trung Quốc, đang khai thác ActiveX.
Don Retallack, nhà phân tích định hướng của Microsoft, nói rằng “Tôi không chắc chắn về sự chậm trễ này. Đội bảo mật của Microsoft rất chuyên nghiệp và rất thận trọng.” Ông nói rằng Microsoft cần nhiều thời gian để phát triển các bản vá, sau đó phải thử nghiệm trên những sản phẩm mà nó hỗ trợ. Thời gian tung ra bản vá là không quan trọng, mà quan trọng là bản vá đó có phát huy đúng tác dụng của nó hay không.
Ông nói rằng khả năng của Microsoft không phải là vô tận, vì thế người dùng cũng nên ủng hộ cho quá trình vá của họ. “Với những lỗ hổng được thông báo bí mật, họ cần có nhiều thời gian hơn để cho ra một bản vá do những lỗ hổng này ít được quan tâm hơn những lỗ hổng đã được công bố và đang bị khai thác.”
Bởi vì cho tới tháng trước tin tặc vẫn chưa khai thác lỗ hổng trong ActiveX Control của OWC nên Retallack vẫn ủng hộ Microsoft. Ông nói “Họ có thể hành động khá nhanh khi lỗ hổng nào đó đang bị khai thác.” Microsoft đều tiến hành vá những lỗ hổng đang bị khai thác trong thời hạn chưa đầy một tháng kể từ khi nó được công bố.
Gần đây Microsoft có dấu hiệu phản ứng chậm lại với những vấn đề bảo mật. Ví dụ, trong tháng trước, họ lên tiếng xác nhận một lỗ hổng khác trong ActiveX Control đã được thông báo từ đầu năm 2008. Cũng giống như lỗ hổng trong OWC, lỗ hổng đó cũng bị tin tặc khai thác trước khi Microsoft tung ra bản vá.
Vào lúc đó, John Pescatore, nhà phân tích bảo mật chính của Gartner, đã chỉ trích tiến độ vá của Microsoft. Tháng trước Pescatore nói rằng “Đó là thời hạn không thể chấp nhận được. Với tầm cỡ của Microsoft thì họ không phải cần đến một năm để vá lỗ hổng đó.”
Ông Christopher Budd, phát ngôn viên của MSRC (Microsoft Security Research Center – Trung tâm nghiên cứu bảo mật của Microsoft) biện bạch rằng “Mọi lỗ hổng đều có những đặc điểm khác nhau do đó việc phát triển bản vá sẽ có những khó khăn nhất định. Việc tung ra một bản cập nhật chất lượng đúng thời hạn tới khách hàng là rất quan trọng với Microsoft. Và công ty chỉ tung ra bản cập nhật sau khi đội ngũ phát triển đã hoàn thành xong quá trình phát triển và kiểm thử chặt chẽ.”