Microsoft’s
decision to patch Windows XP is a mistake
Sẽ
luôn có một sự khẩn cấp hơn nữa.
There
will always be one more emergency.
by Peter
Bright - May 2 2014, 4:15am ICT
Bài được đưa lên
Internet ngày: 02/05/2014
Aurich Lawson
Lời
người dịch: “Microsoft đã chính
thức chấm dứt hỗ trợ cho hệ điều hành Windows XP 12
năm tuổi rưỡi vài tuần trước.
Ngoại trừ hình như đã không phải thế, vì hãng đã đưa
Windows XP vào chu kỳ vá lỗi của nó để sửa một lỗi
ngày số 0 của Internet Explorer mà
đang nhận được số lượng khai thác bùng phát. Hệ điều
hành không được hỗ trợ đó, trên thực tế, đang được
hỗ trợ. Giải
thích về các hành động của mình,
Microsoft nói rằng bản vá này là một “ngoại lệ” vì
“gần kết thúc hỗ trợ cho Windows XP”. Quyết định
đưa ra bản vá này là một sai lầm, và lý do làm như vậy
là không phù hợp”. Bạn hãy đọc hết để hiểu vì
sao đó là một sai lầm! Lưu ý: Việt
Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính,
chiếm 45.65% máy tính cả nước còn chạy Windows XP hết
hỗ trợ kỹ thuật từ 08/04/2014.
Hơn nữa, các
dịch vụ công của Việt Nam chỉ chạy được trên trình
duyệt web Microsoft Internet Explorer.
Microsoft đã chính
thức chấm dứt hỗ trợ cho hệ điều hành Windows XP 12
năm tuổi rưỡi vài tuần trước. Ngoại trừ hình như
đã không phải thế, vì hãng đã đưa
Windows XP vào chu kỳ vá lỗi của nó để sửa một lỗi
ngày số 0 của Internet Explorer mà đang nhận được số
lượng khai thác bùng phát. Hệ điều hành không được
hỗ trợ đó, trên thực tế, đang được hỗ trợ.
Giải
thích về các hành động của mình, Microsoft nói rằng
bản vá này là một “ngoại lệ” vì “gần kết thúc
hỗ trợ cho Windows XP”.
Quyết định đưa
ra bản vá này là một sai lầm, và lý do làm như vậy là
không phù hợp.
Một bản vá của
dạng này không tạo ra sự khác biệt có ý nghĩa nào cho
an ninh của một nền tảng. Internet Explorer đã nhận được
các bản vá an ninh trong 11 trong số 12 Ngày Thứ ba Vá
(Patch Tuesday). Các trình duyệt khác như Chrome và Firefox
nhận được các bản cập nhật an ninh theo một tần suất
có thể so sánh được.
Các
trình duyệt web là phức tạp. Chúng nhất thiết được
phơi ra cho tất cả cách thức đầu vào thù địch tiềm
tàng mà người sử dụng thực sự không thể kiểm soát,
và như vậy, chúng thường là đích ngắm cho các cuộc
tấn công. Chúng cần thường xuyên cập nhật và duy trì
liên tục. An ninh của một trình duyệt không phải là may
rủi trong bất kỳ một sửa lỗi nào; nó phụ thuộc vào
sự phân phối liên tục các bản vá, các sửa lỗi và
các cải thiện. Một trong các “ngoại lệ” không làm
cho Internet Explorer trong Windows XP 'an toàn'. Không có ý
nghĩa theo đó bản vá này có nghĩa là tất cả bỗng
nhiên bây giờ là “OK” để sử dụng Internet Explorer
trong Windows XP.
Và vâng dường như
không thể tránh khỏi đây chính xác là cách mà nó sẽ
được tiếp nhận. Công việc chuyển đổi khỏi Windows
XP chỉ khó hơn mà thôi. Tôi chắc có những người CNTT
trên khắp thế giới mà bây giờ đang phải lý luận với
cái dây ví kiểm soát của các ông chủ về chính vấn đề
này. Những người CNTT mà đã phải có ấn tượng về sự
siêu việt của họ mà họ cần ngân sách để nâng cấp
từ Windows XP vì Microsoft sẽ không phát hành các bản vá
cho nó thêm nữa. Microsoft đã làm cho những người CNTT đó
thành những người nói dối. “Bạn đã nói chúng tôi đã
phải bỏ ra tất cả đống tiền này vì XP sẽ không được
vá bao giờ nữa. Nhưng đây này!”
Các ông chủ mà
từng được thuyết phục rằng học có thể gắn với
Windows XP vì Microsoft có thể nhấp nháy bây giờ sẽ được
minh oan.
Sau
tất cả, nếu Microsoft có thể nhấp nháy một lần, ai có
thể nói nó sẽ không làm thế lần nữa? Bản vá của
Patch Tuesday tiếp sau cho Internet Explorer hầu như chắc chắn
sẽ có những lỗi mà ảnh hưởng tới Internet Explorer
trên Windows XP: bản chất tự nhiên của phần mềm có
nghĩa là hầu hết các lỗi trong Internet Explorer 7 (được
hỗ trợ cho phần còn lại của vòng đời của Windows
Vista) và Internet Explorer 8 (gắn với vòng đời của
Windows 7) cũng sẽ là những lỗi trong Internet Explorer 7 và
8 khi chạy trên Windows XP. Nhiều trong số chúng cũng sẽ
đánh Internet Explorer 6.
Trong
thực tế, đây chính xác là mẫu mà chúng ta đã thấy
với lỗi này.
Các khai thác bùng nổ đầu tiên đánh chỉ vào Internet
Explorer 9, 10 và 11, trên Windows 7 và 8. Khi hãng an ninh
FireEye nêu,
chỉ sau đó rằng các cuộc tấn công cho (không được hỗ
trợ) Internet Explorer 8 trên Windows XP được cụ thể hóa.
Gần như mỗi lần
Microsoft cập nhật một trong những nền tảng được
hỗ trợ còn lại của nó, hãng sẽ cũng cùng lúc sẽ
tiết lộ một chỗ bị tổn thương ngày số 0 cho Windows
XP (thứ
gì đó Apple gần đây bị chỉ trích vì làm thế).
Danh sách các bản vá cho Ngày thứ ba Vá của tháng 5 - ít
hơn 2 tuần - còn chưa ra, nhưng dựa vào hồ sơ theo dõi
Internet Explorer, có khả năng cao là nó sẽ được cập
nhật, và có khả năng cao là các bản cập nhật đó sẽ
tiết lộ các lỗi có thể khai thác được trong Windows
XP.
Với lý lẽ “sự
gần đúng” của Microsoft, các lỗi đó cũng nên được
vá trên Windows XP. Trên thực tế, thật khó để thấy
thời gian khi “sự gần đúng” sẽ không là một vấn
đề. Không thể tránh khỏi Ngày thứ ba Vá sẽ tiết lộ
các lỗi có thể bị khai thác cho các hệ điều hành
không còn được hỗ trợ. Với thị phần cao như bây giờ
của Windows XP, không bao giờ có cơ hội thực tế rằng
một khai thác có thể không hiện thực hóa trong “sự
gần đúng” tới sự kết thúc hỗ trợ.
Mọi người sử
dụng Windows XP sẽ bị khai thác qua các chỗ bị tổn
thương được biết nhưng không được vá. Đó là những
gì sự kết thức hỗ trợ có ý nghĩa. Đó là hệ
quả không thể tránh khỏi của nó. Miễn là Windows XP có
một số lượng đáng kể người sử dụng, sẽ có lời
gọi “thêm một bản vá nữa” sẽ được phát hành.
Không có gì đặc biệt về lỗi mới nhất này mà bảo
đảm hành xử đặc biệt, và các tuần và tháng sau đó
sẽ thấy sự tiết lộ và khai thác của nhiều lỗi tương
tự hơn thế. Nếu lỗi này từng được vá, thì tất cả
các lỗi đó cũng nên được vá nốt.
Lỗi ngày số 0 và
sự khai thác của nó là không may, và Microsoft có khả
năng đau lòng từ các lời kêu gọi của chính phủ đối
với những người phải dừng sử dụng Internet Explorer.
Hãng đã có 3 cách mà nó có thể trả lời. Nó có thể
đã không làm gì - tắc trong các khẩu súng của mình, đã
duy trì tới cuối của sự hỗ trợ nghĩa là kết thúc
sự hỗ trợ, và đã khuyến khích mọi người chuyển
sang một nền tảng khác. Nó cũng có thể đã nhượng bộ
hoàn toàn, đã mở rộng vòng đời hỗ trợ cho Windows XP
thêm vài năm nữa, và đã chờ đợi sự tiêu hao để thu
nhỏ kho người sử dụng Windows XP đến các mức độ
không thích hợp. Hoặc nó đã nói rằng trường hợp này
là thứ gì đó “đặc biệt” đưa ra một bản vá trong
khi vẫn còn nói rằng Windows XP sẽ không được hỗ trợ
nữa.
Không lựa chọn nào
trong số này là hoàn hảo cả. Một tiếp cận khó để
kết thúc vòng đời có nghĩa là có những người đang bị
khai thác mà Microsoft từ chối giúp đỡ. Một sự dổi
hoàn toàn có nghĩa là Windows XP sẽ còn tuôn ra thị trường
còn lâu hơn nữa, làm cho nó thành một sự đau đầu liên
tục cho các lập trình viên và các nhà quản trị hệ
thống.
Nhưng lựa chọn mà
Microsoft đã chọn là tồi tệ nhất trong tất cả các lựa
chọn. Nó làm xói mòn các nỗ lực của nhân viên CNTT để
loại bỏ hệ điều hành cũ kỹ, và làm xói mòn sự
khẳng định của Microsoft rằng Windows XP không còn được
hỗ trợ nữa, trong khi không làm gì để cải thiện một
cách có ý nghĩa an ninh của những người sử dụng
Windows XP. Ngược chăng? Nó mua những người sử dụng đó
tốt nhất một ít ngày thêm ra đối với an ninh được
cải thiện. Khó để nói điều đó có khả năng đáng
giá như thế nào.
Microsoft
officially ended
support of the twelve-and-a-half-year-old Windows XP operating system
a few weeks ago. Except it apparently didn't, because the company has
included
Windows XP in its off-cycle patch to fix an Internet Explorer
zero-day that's receiving some amount of in-the-wild
exploitation. The unsupported operating system is, in fact, being
supported.
Explaining
its actions, Microsoft says that this patch is an "exception"
because of the "proximity to the end of support for Windows XP."
The
decision to release this patch is a mistake, and the rationale for
doing so is inadequate.
A
one-off patch of this kind makes no meaningful difference to the
security of a platform. Internet Explorer received security patches
in 11 of the last 12 Patch Tuesdays. Other browsers such as Chrome
and Firefox receive security updates on a comparable frequency.
Web
browsers are complex. They're necessarily exposed to all manner of
potentially hostile input that the user can't really control, and as
such, they're a frequent target for attacks. They need regular
updates and ongoing maintenance. The security of a browser is not
contingent on any one bugfix; it's dependent on a continuous delivery
of patches, fixes, and improvements. One-off "exceptions"
do not make Internet Explorer on Windows XP "safe." There's
no sense in which this patch means that all of a sudden it's now "OK"
to use Internet Explorer on Windows XP.
And
yet it seems inevitable that this is precisely how it will be
received. The job of migrating away from Windows XP just got a whole
lot harder. I'm sure there are IT people around the world who are now
having to argue with their purse-string-controlling bosses about this
very issue. IT people who have had to impress on their superiors that
they need the budget to upgrade from Windows XP because Microsoft
won't ship patches for it any longer. Microsoft has made these IT
people into liars. "You said we had to spend all this money
because XP wasn't going to get patched any more. But it is!"
Bosses
who were convinced that they could stick with Windows XP because
Microsoft would blink are now vindicated.
After
all, if Microsoft can blink once, who's to say it won't do so again?
The next Patch Tuesday patch for Internet Explorer is almost
certainly going to include flaws that affect Internet Explorer on
Windows XP: the nature of software means that most flaws in Internet
Explorer 7 (supported for the remainder of Windows Vista's life
cycle) and Internet Explorer 8 (tied to Windows 7's life cycle) will
also be flaws in Internet Explorer 7 and 8 when run on Windows XP.
Many of them will also hit Internet Explorer 6.
In
fact, this is precisely the pattern we've seen with this
flaw. The first
in-the-wild exploits hit only Internet Explorer 9, 10, and 11, on
Windows 7 and 8. As security firm FireEye reports,
it's only later
that attacks for (unsupported) Internet Explorer 8 on Windows XP
materialized.
Virtually
every time Microsoft updates one of its remaining supported
platforms, the company will also simultaneously be disclosing a
zero-day vulnerability for Windows XP (something
Apple has recently been criticized for doing). The patch list for
May's Patch Tuesday—less than two weeks away—isn't out yet, but
based on Internet Explorer's track record, it's highly likely that
it's going to get updated, and it's highly likely that these updates
will reveal exploitable flaws on Windows XP.
By
Microsoft's "proximity" argument, those flaws should be
patched on Windows XP, too. In fact, it's hard to see a time when
"proximity" won't be an issue. It's inevitable that Patch
Tuesday will reveal exploitable flaws for the unsupported operating
system, and it's similarly inevitable that at least some of those
flaws will get exploited. With Windows XP's market share as high as
it is, there was never any realistic chance that an exploit would not
materialize in "proximity" to the end of support.
People
using Windows XP are going to be exploited through known but
unpatched vulnerabilities. That is what the end of support means.
That is its unavoidable consequence. For as long as Windows XP has a
substantial number of users, there will be calls for "one more
patch" to be released. There's nothing special about this latest
flaw that warrants special treatment, and the next weeks and months
will see the disclosure and exploitation of many more similar flaws.
If this bug was fixed, all those bugs should get fixed, too.
The
zero-day flaw and its exploitation is unfortunate, and Microsoft is
likely smarting from government calls for people to stop using
Internet Explorer. The company had three ways it could respond. It
could have done nothing—stuck to its guns, maintained that the end
of support means the end
of support, and
encouraged people to move to a different platform. It could also have
relented entirely, extended Windows XP's support life cycle for
another few years, and waited for attrition to shrink Windows XP's
userbase to irrelevant levels. Or it could have claimed that this
case is somehow "special,"releasing a patch while still
claiming that Windows XP isn't supported.
None
of these options is perfect. A hard-line approach to the end-of-life
means that there are people being exploited that Microsoft refuses to
help. A complete about-turn means that Windows XP will take even
longer to flush out of the market, making it a continued headache for
developers and administrators alike.
But
the option Microsoft took is the worst of all worlds. It undermines
efforts by IT staff to ditch the ancient operating system, and
undermines Microsoft's assertion that Windows XP isn't supported,
while doing nothing to meaningfully improve the security of Windows
XP users. The upside? It buys those users at best a few extra days of
improved security. It's hard to say how that was possibly worth it.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.