Tại sao Microsoft mất 1 năm vá lỗi cực kỳ nguy hiểm?

Sau hơn 1 năm “nghiên cứu”, cuối cùng Microsoft cũng chuẩn bị tung ra bản vá cho lỗ hổng Video ActiveX Control, cho phép tin tặc thực hiện các cuộc tấn công nguy hiểm nhờ khai thác vào trình duyệt Internet Explorer.

“Video ActiveX Control… rắc rối hơn chúng tôi tưởng”

Lỗi ActiveX là 1 trong ba bản vá nghiêm trọng nhất sẽ được Microsoft phát hành trong tuần tới.

Các chuyên gia an ninh cho biết lỗ hổng nguy hiểm này đã ảnh hưởng trực tiếp đến hệ điều hành Windows XP and Server 2003, mở đường cho tin tặc thực thi các cuộc tấn công Trojan ăn cắp thông tin bằng cách lừa người truy cập vào những trang web độc hại trên trình duyệt IE.

Mấy tuần gần đây, các chuyên gia đã phát hiện ra các cuộc tấn công khai thác từ lỗi ActiveX trên hàng trăm nghìn website của Trung Quốc và cả website đại sứ của Nga ở Mỹ.

Tuy nhiên, điều đáng nói là Microsoft đã mất hơn 1 năm để khắc phục lỗ hổng này.

Mike Reavey, GD Trung tâm phản ứng nhanh của Microsoft, giải thích trên blog của hãng rằng tính phức tạp của vấn đề đã khiến gã khổng lồ này mất quá nhiều thời gian để nghiên cứu.

Microsoft nhận được cảnh báo lần đầu tiên vào mùa xuân năm 2008. Nhưng việc phát hiện ra lỗ hổng ActiveX đã thật sự rất khó khăn và ngoài tầm kiểm soát hơn những gì họ nghĩ. Hơn nữa, “người ta đã không dùng chức năng ActiveX Control trên IE và nó đã bị mặc định vô hiệu hóa trên hệ điều hành Windows Vista”.

“Thực tình nếu chức năng này quá phổ biến thì chúng tôi đã nhanh chóng tìm thấy căn nguyên của nó”, ông Reavey nói.

Và ông này cũng cho biết, Microsoft đã khuyến khích người dùng nên tắt tính năng ActiveX Control rắc rối này khi sử dụng IE để tránh phiền phức.

“Một thời gian dài nghiên cứu đã giúp chúng tôi cảm thấy thoải mái hơn khi giúp người dùng bảo vệ chính mình trong bản tin an ninh sắp tới. Chúng tôi đã thiết lập để bản vá sẽ tự động vô hiệu hóa lỗ hổng nguy hiểm này”, Reavey chia sẻ.

Vì sao Microsoft quá chậm trễ?

Ông Reavay giải thích rằng nhóm nghiên cứu của Microsoft phải dành nhiều thời gian để điều tra về lỗ hổng này bởi trước đó, hãng đã yêu cầu người dùng tắt chức năng ActiveX trong IE. Họ không muốn phát hành bản vá vì nó có thể sẽ làm hỏng các ứng dụng khác của người dùng.

“Khi chúng tôi vô hiệu hóa hay gỡ bỏ chức năng này, chúng tôi buộc phải nghiên cứu và thử nghiệm kỹ hơn”, vị giám đốc này cho biết. “Bởi chúng tôi biết nếu làm điều này nó sẽ vừa ảnh hưởng đến các ứng dụng của Microsoft vừa tác động đến các chương trình của bên thứ 3”.

Vì thế, theo ông, nếu các phần mềm chính của người dùng bị hư hỏng, họ sẽ không tiến hành nâng cấp - tạo cơ hội cho tin tặc lấy cắp thông tin để tấn công.

Microsoft cho hay những người dùng đã tiến hành tắt chức năng ActiveX thì không cần thiết phải cài bản vá sắp tới.