Google tự chê bản thân và Microsoft, Apple vá lỗ hổng phần mềm hời hợt, kém hiệu quả

Các nhà nghiên cứu bảo mật thuộc Google Project Zero (GPZ) vừa đưa ra những tuyên bố có phần xác đáng về hiện trạng của các công ty phần mềm. Cụ thể, GPZ cho rằng một nửa trong số 18 lỗ hổng bảo mật bị khai thác trước khi được vá trong năm nay có thể được ngăn chặn nếu như các nhà cung cấp phần mềm lớn tạo ra các bản vá kỹ lưỡng hơn và thực hiện nhiều thử nghiệm hơn.

Cho tới nay, GPZ đã thống kê được 18 lỗ hổng zero-day có liên quan tới Microsoft Windows, Apple iOS và WebKit, Chromium và Pixel của Google và máy chủ Confluence của Atlassian. Như vậy có thể nói không chỉ chê Microsoft và Apple vá phần mềm kém, GPZ còn chê cả những đồng nghiệp của mình tại bộ phận phát triển Chromium và Pixel.

GPZ chỉ thu thập dữ liệu về các lỗ hổng zero-day trong các sản phẩm phần mềm lớn nên con số này không bao gồm tất cả các lỗ hổng zero-day. Ngoài ra, GPZ cho biết trong năm nay thực chất chỉ có 4 lỗ hổng zero-day bởi các lỗ hổng khác bị hacker khai thác bằng cách điểu chỉnh cách tấn công để vượt qua các bản vá hời hợt.

"Ít nhất một nửa trong số lỗ hổng zero-day mà chúng ta thấy trong sáu tháng đầu năm 2022 là có thể ngăn chặn được bằng các thử nghiệm hồi quy và các bản vá toàn diện hơn. 4 trong số các zero-day của năm 2022 là biến thể đã từng bị khai thác trong năm 2021. Chỉ trong 12 tháng, hacker đã tìm cách vượt qua được bản vá để tiếp tục khai thác lỗ hổng ban đầu", Maddie Stone, một chuyên gia của GPZ cho biết.

Stone nói thêm rằng ít nhất một nửa số lỗ hổng zero-day có liên quan chặt chẽ đến các lỗi mà chúng ta đã thấy trước đây.

Google tự chê bản thân và Microsoft, Apple vá lỗ hổng phần mềm hời hợt, kém hiệu quả

Bà Stone cho rằng ngành công nghiệp vá lỗi không nên coi zero-day là thứ gì đó quá khó khăn. Bà muốn toàn ngành nỗ lực xóa sạch toàn bộ các lỗ hổng bảo mật.

Thống kê của GPZ cho thấy 67% trong số 58 zero-day bị khai thác trong năm 2021 là lỗ hổng bảo mật bộ nhớ. Nhóm bảo mật của Chrome đang tìm các giải pháp để giải quyết các vấn đề bộ nhớ xuất phát từ cơ sở code khổng lồ của trình duyệt được viết bằng C++. Tuy nhiên, giải pháp giảm thiểu này có thể sẽ phải đánh đổi bằng hiệu suất của Chrome.

Bà Stone cũng chỉ ra rằng đôi khi nhóm Windows của Microsoft và nhóm Chrome của Google đôi khi cung cấp các bản vá sơ sài như kiểu miếng dán vết thương. Những bản vá kiểu này không giải quyết gốc rễ vấn đề nên chẳng bao lâu sau hacker lại có thể vượt qua được.

Thứ Tư, 06/07/2022 15:55
42 👨 671
0 Bình luận
Sắp xếp theo
    ❖ Chuyện công nghệ