Google's
third zero-day disclosure: Holding Microsoft's feet to the fire
By
Woody Leonhard, Jan 16, 2015
Bài
được đưa lên Internet ngày: 16/01/2015
Lời
người dịch: Lại một lỗi ngày số 0 (Zero day flaw) nữa
của Microsoft và nó còn chưa được vá dù đã hết hạn
cho thời hạn chót 90 ngày mà Google đã thông báo cho
Microsoft . “Xuất
bản số 128 của Google, được phát
hành ngày hôm qua, 15/01, tiết
lộ một lỗi trong thủ tục CryptProtectMemory; nó còn chưa
được vá. Microsoft đã được
thông báo hôm 17/10”. Microsoft đề
nghị được nới rộng cho tới Bản vá ngày thứ Ba tháng
02/2015. Xem thêm: Windows
XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.
Kỹ
sư của Google có trách nhiệm về phát hiện mới nhất đã
thắng nhiều giải thưởng của Microsoft cho việc tìm ra
các lỗi về an toàn
Một
ngày khác, một phát hiện lỗi ngày số 0 khác. Hôm qua
Google đã xuất bản tiết lộ lỗ hổng an toàn thứ 3 của
Windows gần đây chưa được vá.
Đây
là cách mà chúng đã được xuất hiện:
Xuất
bản số 118 của Google, được phát hành công khai ngày
29/12, có liên quan tới một lỗi trong Windows Application
Compatibility Cache. Nó đã được vá hôm 13/01, trong
MS15-001.
Microsoft đã không được thông báo về lỗi đó trong ngày
30/09. Tôi không thể tìm ra bất kỳ bản ghi nào của
Microsoft liên hệ với Google để yêu cầu rằng thông báo
này bị từ chối.
Xuất
bản số 123 của Google, được phát hành công khai hôm
11/01, liên quan tới một lỗ hổng an toàn trong User Profile
Service. Cũng vậy, nó đã được vá hôm 13/01, trong
MS15-003.
Microsoft đã được thông báo hôm 13/10. Theo liệt kê của
Google, Microsoft đã yêu cầu về một sự đình hoãn - cho
tới tháng 2:
Thư (sic) ngày: 11/11/2014
> Microsoft đã khẳng định rằng họ có đích cung cấp
các sửa lỗi cho các vấn đề đó vào tháng 02/2015. Họ
đã yêu cầu liệu điều này có gây ra vấn đề với
thời hạn chót 90 ngày hay không.
< Microsoft đã được thông báo rằng thời hạn chót 90
ngày được cố định cho tất cả các nhà bán hàng và
các lớp lỗi và vì thế không thể được kéo dài. Hơn
nữa họ đã được thông báo rằng thời hạn chót 90
ngày cho vấn đề này hết hạn vào ngày 11/01/2015.
Thư ngày: 11/12/2014
Microsoft đã khẳng định rằng họ biết trước phải
cung cấp các bản sửa lỗi cho các vấn đề đó trong
tháng 01/2015.
Đây
là trigger 2 ngày mà dẫn
tới câu trả lời kịch liệt từ nhiều người trong
cộng đồng an toàn. Vì sao, nhiều người đã hỏi, Google
không thể chờ 2 ngày cho bản sửa lỗi sẽ được phát
hành? Các báo cáo của giới truyền thông hầu hết nhất
trí quan sát sự việc Microsoft ban đầu đã hỏi về sự
nới rộng thêm cho tới tháng 2.
Xuất
bản số 128 của Google, được phát hành ngày hôm qua,
15/01, tiết lộ một lỗi trong thủ tục CryptProtectMemory;
nó còn chưa được vá. Microsoft đã được thông báo hôm
17/10. Theo liệt kê của Google, Microsoft đã trả lời:
Thư ngày: 29/10/2014
< Microsoft khẳng định họ đã tái tạo vấn đề đó
và nghĩ có thể tạo thành một sự vượt qua tính năng
an toàn. Được thông báo cho họ rằng thời hạn chót
hiện hành là 15/01.
> Microsoft đã thông báo cho chúng tôi rằng bản sửa
lỗi đã được lên kế hoạch cho các bản vá tháng 1
nhưng đã được lùi lại vì các vấn đề về tính tương
thích. Vì thế bản sửa lỗi bây giờ được kỳ vọng
nằm trong các bản vá của tháng 2.
Tranh
luận bùng nổ về việc liệu Google “Không trở thành
xấu xí” có đang đốt nóng Microsoft trong phí tổn đôi
bên của họ các khách hàng của họ hay không - liệu
Microsoft hoặc Google (hãy chọn bên của bạn) đội mũ
trắng trong cú đánh này. Tôi
chắc chắn tin tưởng rằng Microsoft phải có trách
nhiệm giải trình, nhưng tôi không bị thuyết phục rằng
một thời hạn chót tuyệt đối 90 ngày làm việc vì ưu
thế của bất kỳ ai.
Giải
pháp tốt nhất cho sự bế tắc này là tôi đã thấy
tới từ Ed Bott của ZDNet:
Một giải pháp rõ ràng có thể cho Google nhận thức được
rằng cả Microsoft và Adobe đã tiêu chuẩn hóa vào ngày
thứ Ba tuần thứ 2 mỗi tháng như là ngày của họ cho
việc phát hành các bản vá và tinh chỉnh thời hạn chót
để phù hợp với Bản vá ngày thứ Ba sau thời hạn chót
90 ngày trôi qua. Điều đó có thể là dễ dàng tầm
thường để viết mã, và nó có thể không bó buộc ít
hơn 90 ngày. Không may, nó có thể cũng yêu cầu sự cộng
tác có ý nghĩa giữa Google và Microsoft, điều có nghĩa
điều đó có thể sẽ không xảy ra bất kỳ lúc nào sớm.
Một
chút về việc trinh thám đã mở ra cái tên của nhà
nghiên cứu của Google mà đã tìm thấy 3 lỗ hổng an toàn
đó. James
Forshaw, cựu lãnh đạo nghiên cứu chỗ bị tổn thương
ở Context Security ở Vương quốc Anh, bây giờ làm
cho Dự án số 0 (Project Zero) của Google. Anh ta nổi
tiếng về mạng lưới hội nghị, đã nói ở các hội
nghị Mũ đen của Mỹ, Mũ đen của châu Âu, CanSecWest, và
29C3. Forshaw đã
thắng cuộc thi Pwn2Own trong Java năm 2013.
Thậm
chí nổi bật hơn, Forshaw đã thắng 9.400 USD giải thưởng
Bounty Hunter (Thợ săn hào phóng) từ Microsoft trong năm 2013
vì phát hiện các lỗi trong IE11, và giải thưởng Bounty
Hunter với 100.000 USD, cũng từ Microsoft, vì làm dịu
một lỗi bỏ qua. Microsoft
BlueHat blog của Per TechNet:
Sự đệ trình của James là chất lượng cao như vậy và
đã phát họa vài phương án khác như phương án chúng ta
đã muốn để thưởng cho anh ta đủ 100.000 USD... Chúc
mừng và làm tốt! Không chỉ bạn đã làm nên lịch sử
bằng việc nhận tổng số 109.400 USD từ các chương trình
hào phóng, mà bạn cũng giúp chúng tôi làm cho các khách
hàng của chúng tôi an toàn hơn từ toàn bộ các lớp tấn
công. Nhân danh hơn 1 tỷ người trên thế giới - Cảm ơn
bạn và con đường bạn đi!
Có
thể thú vị để nghe từ Forshaw anh ta cảm thấy thế nào
về chính sách mở ra trong 90 ngày bàn tay sắt của Google.
The
Google engineer responsible for the latest revelation has won
multiple Microsoft awards for finding security flaws
Another
day, another zero-day revelation. Yesterday Google released its third
recent disclosure of an unpatched Windows security hole.
Here's
how they've appeared:
Google
Issue 118, released to the public on Dec. 29, involves a flaw in
the Windows Application Compatibility Cache. It was patched on Jan.
13, in MS15-001.
Microsoft was notified of the flaw on Sept. 30. I can't find any
record of Microsoft contacting Google to ask that this notification
be withheld.
Google
Issue 123, released to the public on Jan. 11, concerns a security
hole in the User Profile Service. It, too, was patched on Jan. 13, in
MS15-003.
Microsoft was notified on Oct. 13. According to the Google listing,
Microsoft asked for a reprieve -- until February:
Correspondance (sic) Date: 11 Nov
2014
> Microsoft confirmed that they
are on target to provide fixes for these issues in February 2015.
They asked if this would cause a problem with the 90 day deadline.
< Microsoft were informed that
the 90 day deadline is fixed for all vendors and bug classes and so
cannot be extended. Further they were informed that the 90 day
deadline for this issue expires on the 11th Jan 2015.
Correspondance Date: 11 Dec 2014
> Microsoft confirmed that they
anticipate to provide fixes for these issues in January 2015.
This
is the two-day trigger that drew
a vehement response from many in the security community. Why,
many asked, couldn't Google wait two days for the fix to be released?
The press reports almost universally overlook the fact that Microsoft
originally asked for an extension until February.
Google
Issue 128, released yesterday, Jan. 15, unveils a flaw in the
CryptProtectMemory routine; it hasn't been patched as yet. Microsoft
was notified on Oct. 17. According to the Google listing, Microsoft
has responded:
Correspondance Date: 29 Oct 2014
< Microsoft confirm they've
reproduced the issue and think it might constitute a security feature
bypass. Further confirmation will be provided soon.
Correspondance Date: 14 Jan 2015
< Asked Microsoft for
information on whether they were going to fix this issue and
timescales of it. Notified them that the current deadline is the 15th
January.
> Microsoft informed us that a
fix was planned for the January patches but has to be pulled due to
compatibility issues. Therefore the fix is now expected in the
February patches.
The
debate rages on as to whether "Don't be evil" Google is
flaming Microsoft at their mutual customers' expense -- whether
Microsoft or Google (choose your side) wears the white hat in this
very public spat. I firmly
believe that Microsoft has to be held accountable, but I'm not
convinced that an absolute 90-day deadline works to anyone's
advantage.
The
best solution
to the impasse that I've seen comes from ZDNet's Ed Bott:
One obvious solution would be for
Google to acknowledge that both Microsoft and Adobe have standardized
on the second Tuesday of each month as their date for delivering
patches and adjust the deadline to correspond to the Patch Tuesday
after the 90-day deadline expires. That would be trivially easy code
to write, and it would be no less arbitrary than 90 days.
Unfortunately, it would also require meaningful cooperation between
Google and Microsoft, which means it's probably not going to happen
anytime soon.
A
little bit of sleuthing uncovered the name of the Google researcher
who found the three security holes. James
Forshaw, formerly head of vulnerability research at Context
Security in the United Kingdom, now works
for Google Project Zero. He's well-known on the conference
circuit, having spoken at Blackhat US, Blackhat Europe, CanSecWest,
and 29C3. Remarkably, Forshaw won
the Pwn2Own competition in Java in 2013.
Even
more remarkably, Forshaw won a $9,400 Bounty Hunter award from
Microsoft in 2013 for discovering flaws in IE11, and a $100,000
Bounty Hunter award, also from Microsoft, for a mitigation bypass
bug. Per TechNet's Microsoft
BlueHat blog:
James' submission was of such high
quality and outlined some other variants such that we wanted to award
him the full $100,000 bounty… Congratulations and well done! You
not only made history by receiving a total of $109,400 from our
bounty programs, you're also helping us make our customers safer from
entire classes of attack. On behalf of over a billion people
worldwide -- Thank you and way to go!!
It
would be interesting to hear from Forshaw how he feels about Google's
iron-fisted 90-day disclosure policy.
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.