Google tiết lộ lỗi của Windows chỉ vài ngày trước sửa lỗi theo Bản vá ngày thứ Ba, làm Microsoft khó chịu

Google reveals Windows flaw mere days before Patch Tuesday fix, irking Microsoft

By Ian Paul @ianpaul, Jan 12, 2015 8:05 AM

Theo: http://www.pcworld.com/article/2867533/google-reveals-windows-81-flaw-mere-days-before-patch-tuesday-fix-irking-microsoft.html

Bài được đưa lên Internet ngày: 12/01/2015

Các lỗi sống còn của thế giới phần mềm năm 2014

Lời người dịch: Về việc Google đã nêu chi tiết lỗi trong Windows 8.1 của Microsoft trước thời hạn Bản vá ngày thứ Ba tháng 01/2015 chỉ 2 ngày, Rob Graham, CEO của hãng tu vấn an toàn Errata Security, nêu trên blog của công ty ông rằng: “10 năm trước, “Microsoft đã ra lệnh cho 'tiêu chuẩn công nghiệp' về cách mà cách vấn đề an toàn được nêu như thế nào”, “Microsoft đôi khi chậm sửa các lỗi hàng năm và dựa vào cơ bắp trong nền công nghiệp của mình để giữ cho các nhà nghiên cứu và các nhà bình luận chỉ trích phải im lặng. Tuy nhiên, bây giờ Google là công ty thiết lập 'tiêu chuẩn công nghiệp' cho việc báo cáo, Graham nói. “Nó chỉ là sự rên rỉ... Họ [Microsoft] phẫn uất về cách mà Google khai thác ưu thế không công bằng của nó. Vì Microsoft không thể thay đổi sự phát triển của họ, họ cố thay đổi ý kiến công chúng để ép Google phải thay đổi””. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.

Google vừa làm tràn ra các hạt đậu trong một chỗ bị tổn thương của Windows 8.1 mà có thể trao cho một kẻ tấn công các quyền leo thang và Microsoft không hạnh phúc về điều đó.

Hiện hành, chính sách của Google là xuất bản bất kỳ chỗ bị tổn thương nào hãng thấy 90 ngày sau khi thông báo cho nhà bán hàng phần mềm về vấn đề đó. Google đã xuất bản lỗi mới nhất này trên Google Code hôm Chủ nhật trước khi Microsoft đã có cơ hội để đưa ra một bản vá. Một lỗi tương tự của Windows đã được xuất bản vào cuối tháng 12.

Những gì làm cho Microsoft quá phật ý là Google đã đưa ra thông tin chỉ 2 ngày trước khi nhà sản xuất Windows đã có kế hoạch phát hành một bản vá trong chương trình “Bản vá ngày thứ Ba” thông thường của hãng vào ngày 13/01/2015. Hơn nữa, Microsoft nói hãng đã có liên hệ với Google và rằng người khổng lồ tìm kiếm đã nhận thức tốt được về khung thời gian của Microsoft.

“Quyết định đó [xuất bản lỗi] cảm thấy ít giống với các nguyên tắc và giống nhiều với một 'mẹo lừa' (gotcha), với các khách hàng những người có thể chịu thiệt như là kết quả của nó”, Microsoft đã nói trong một bài viết trên blog.

Vì sao điều này là vấn đề: Làm thế nào và khi nào các công ty và các nhà nghiên cứu quyết định phát hành các lỗi phần mềm có thể có các ảnh hưởng nghiêm trọng nếu các doanh nghiệp, những người sử dụng ở nhà, hoặc các tổ chức lớn sẽ không để lại một bản vá. Dù vậy, đặt các sửa lỗi bị tổn thương ở vài dạng khung thời gian cũng quan trọng vì các tổ chức lớn đôi khi chậm sửa lỗi các vấn đề nếu không đối mặt với một thời hạn chót cứng rắn, vì thế để cho người sử dụng bị phơi lộ. Nhưng các nhà nghiên cứu và các công ty về an toàn với các phần mềm bị ảnh hưởng cần làm việc cùng nhau trong việc xuất bản lỗi và một sửa lỗi theo một cách thức đúng giờ sao cho người sử dụng đầu cuối không bị để tổn thương.

Bàn bị lật

Dù Microsoft không hạnh phúc về quyết định của Google, ít nhất một nhà nghiên cứu an toàn nói các kêu ca của Microsoft là quá ít, quá chậm.

10 năm trước, “Microsoft đã ra lệnh cho 'tiêu chuẩn công nghiệp' về cách mà cách vấn đề an toàn được nêu như thế nào, Rob Graham, CEO của hãng tu vấn an toàn Errata Security, gần đây nói trên blog của công ty ông”.

Theo Graham, Microsoft đôi khi chậm sửa các lỗi hàng năm và dựa vào cơ bắp trong nền công nghiệp của mình để giữ cho các nhà nghiên cứu và các nhà bình luận chỉ trích phải im lặng. Tuy nhiên, bây giờ Google là công ty thiết lập 'tiêu chuẩn công nghiệp' cho việc báo cáo, Graham nói. “Nó chỉ là sự rên rỉ... Họ [Microsoft] phẫn uất về cách mà Google khai thác ưu thế không công bằng của nó. Vì Microsoft không thể thay đổi sự phát triển của họ, họ cố thay đổi ý kiến công chúng để ép Google phải thay đổi”.

Microsoft nhất định có trong tay đầy đủ khi nói về sửa lỗi, và hãng làm chậm hơn nhiều so với các công ty khác. Những Google không thể chờ xuất bản tới 2 ngày khi Microsoft đã hứa một bản sửa lỗi?

Việc đặt các công ty vào một thời hạn chót đúng hẹn, có trách nhiệm vá là một chính sách lớn phải có. Việc giữ cho thời hạn chót đó thậm chí khi một sửa lỗi được hứa chỉ là vài ngày tới, tuy nhiên, không giúp được những người sử dụng. Điều đó chỉ làm cho Google trông giống như nó đang cố chọc vào Microsoft.

Google just spilled the beans on a Windows 8.1 vulnerability that could give an attacker elevated privileges and Microsoft is not happy about it.

Currently, Google’s policy is to publish any vulnerabilities it finds 90 days after notifying the software vendor of the issue. Google publicized this latest flaw on Google Code on Sunday before Microsoft had a chance to release a fix. A similar Windows bug was publicized in late December.

What’s got Microsoft so miffed is that Google released the information just two days before the Windows maker planned to release a fix during the company’s usual “patch Tuesday” on January 13, 2015. What’s more, Microsoft claims it was in touch with Google and that the search giant was well aware of Microsoft’s timeline.

“The decision [to publish the bug] feels less like principles and more like a ‘gotcha,’ with customers the ones who may suffer as a result,” Microsoft said in a recent blog post.

Why this matters: How and when companies and researchers decide to release software bugs can have serious implications if businesses, home users, or large organizations are left without a patch. Nevertheless, putting vulnerability fixes on some kind of timeline is also important since larger organizations sometimes delay fixing problems if not faced with a firm deadline, thereby leaving users exposed. But security researchers and companies with affected software need to work together on publishing the flaw and a fix in a timely manner so that end users are not left vulnerable.

Turned tables

Although Microsoft isn’t happy about Google’s decision, at least one security researcher says Microsoft’s complaints are too little, too late.

Ten years ago, “Microsoft dictated the ‘industry standard’ of how security problems were reported,” Rob Graham, CEO of security consultancy Errata Security, recently said on his company’s blog.

According to Graham, Microsoft would sometimes delay fixing bugs for years and rely on its industry muscle to keep researchers and critics quiet. Now, however, Google is the company setting the “industry standard” for reporting, Graham says. “It’s just whining...They [Microsoft] resent how Google exploits its unfair advantage. Since Microsoft can’t change their development, they try to change public opinion to force Google to change.”

Microsoft certainly has its hands full when it comes to bug fixes, and the company does move more slowly than other companies. But Google couldn’t delay publication for two days when Microsoft had already promised a fix?

Putting companies on a deadline for timely, responsible patching is a great policy to have. Keeping to that deadline even when a promised fix is mere days away, however, doesn’t help users. It just makes Google look like it’s trying to stick it to Microsoft.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com