Google
publishes Windows 8.1 flaw details before patch is issued
By
Ashley Carman, January 05, 2015
Theo:
http://www.scmagazine.com/windows-8-elevation-of-privilege-flaw-detailed-online/article/390995/
Bài
được đưa lên Internet ngày: 05/01/2015
Lời
người dịch: Microsoft đã không
đủ thời gian để đưa ra bản vá cho mỗi lỗi leo thang
quyền ưu tiên trong Windows 8.1 dù đã được Google báo
trước 90 ngày. “Lỗi này là
trong NtApphelpCacheControl,
một hàm được sử dụng cho việc lưu tạm thông tin
tương thích ứng dụng, và có thể được sử dụng để
vượt qua sự kiểm soát tài khoản người sử dụng và
cho phép một ứng dụng độc
hại hành động như một người quản trị,
Sophos đã viết trên blog an toàn của hãng. Tuy nhiên, lỗi
này cũng có thể bị khai thác nếu một thiết bị đã bị
tổn thương rồi”. Xem thêm: Windows
XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.
Gần
3 tháng sau khi nhóm được tạo ra, đội “Dự án 0”
(Project Zero) của Google đã phát hiện một lỗi leo thang
quyền ưu tiên trong Windows 8.1, và 90 ngày sau khi mở nó ra
cho Microsoft, các nhà nghiên cứu đã chi tiết hóa chỗ bị
tổn thương này trên trực tuyến.
Lỗi
này là trong NtApphelpCacheControl, một hàm được sử dụng
cho việc lưu tạm thông tin tương thích ứng dụng, và có
thể được sử dụng để vượt qua sự kiểm soát tài
khoản người sử dụng và cho phép một ứng dụng độc
hại hành động như một người quản trị, Sophos đã
viết trên blog an toàn của hãng. Tuy nhiên, lỗi này cũng
có thể bị khai thác nếu một thiết bị đã bị tổn
thương rồi.
Dù
Google đã cho Microsoft 90 ngày để có hiệu quả vá lỗi,
người tạo ra Windows đã không phát hành một sửa lỗi
trong khoảng thời gian đó. Chris Boyd, nhà phân tích tri
thức phần mềm độc hại ở Malwarebytes, nói trong một
bình luận được chuẩn bị sẵn cho SCMagazine.com rằng
công ty công nghệ đó có lẽ đã cần nhiều thời gian
hơn để sửa vấn đề này.
“Trong
khi 90 ngày có thể là đủ dài để sửa các lỗi được
tìm thấy trong nhiều mẩu phần mềm, thì chúng tôi không
thể nói chắc chắn những gì Microsoft có thể phải làm
đằng sau sân khấu để giải quyết vấn đề này”,
Boyd nói. “Nó không thể mạo hiểm giới thiệu nhiều
chỗ bị tổn thương hơn hoặc phá các thành phần chính
bằng việc vội vã sửa lỗi”.
Trong
khi đó, trang của Google chi tiết hóa chỗ bị tổn thương
được điền đầy với các bình luận từ những người
sử dụng mà nói sự phơi lộ lỗi này có thể ảnh hưởng
tới hàng tỷ người và sự phát hành của nó có thể
rốt cuộc làm hại những người sử dụng Windows, ngược
lại việc giúp thúc đẩy Microsoft đưa ra một bản vá.
Về
phần mình, một người phát ngôn của Microsoft nói hãng
đang làm việc để phát hành một bản cập nhật an toàn
và nhắc những người sử dụng vẫn giữ cẩn thận về
các thực tiễn về an toàn.
“Điều
quan trọng để lưu ý rằng đối với một kẻ có thể
tấn công để tiềm tàng khai thác một hệ thống, chúng
có thể trước tiên cần có ủy quyền đăng nhập hợp
lệ và có khả năng đăng nhập cục bộ vào một máy
đích”, người phát ngôn nói trong một thư điện tử
cho SCMagazine.com. “Chúng tôi khuyến khích các khách hàng
giữ các phần mềm chống virus của họ được cập nhật,
cài đặt tất các các bản cập nhật an toàn và bật
tường lửa lên trên máy tính của họ”.
Google
đã không trả lời cho một yêu cầu bình luận của
SCMagazine.com.
Bản
vá ngày thứ Ba tiếp sau của Microsoft là vào tuần sau,
ngày 13/01/2015.
Nearly
three months after the group's creation, Google's “Project Zero”
team discovered an elevation of privilege flaw in Windows 8.1, and 90
days after disclosing it to Microsoft, the researchers have detailed
the vulnerability online.
The
flaw is in NtApphelpCacheControl, a function that is used for caching
application compatibility information, and could be used to bypass
user account control and allow a malicious application to act as an
administrator, Sophos wrote in its security blog. The flaw can only
be exploited if a device has already been compromised, however.
Although
Google gave Microsoft 90 days to effectively patch the flaw, the
Windows creator did not release a fix during that time period. Chris
Boyd, malware intelligence analyst at Malwarebytes, said in a
prepared comment to SCMagazine.com that the tech company might have
needed more time to fix the issue.
“While
90 days may be long enough to fix flaws found in many pieces of
software, we can't say for certain what Microsoft would have to do
behind the scenes to address this issue,” Boyd said. “It can't
risk introducing more vulnerabilities or break key components by
rushing a fix.”
Meanwhile,
Google's page detailing the vulnerability filled with comments from
users who said this flaw's exposure could impact billions and its
release would ultimately harm Windows users, as opposed to helping
push Microsoft to issue a patch.
For
its part, a Microsoft spokesperson said the company is working to
release a security update and reminds users to remain vigilant on
security practices.
“It
is important to note that for a would-be attacker to potentially
exploit a system, they would first need to have valid logon
credentials and be able to log on locally to a targeted machine,”
the spokesperson said in an email to SCMagazine.com. “We encourage
customers to keep their anti-virus software up to date, install all
available security updates and enable the firewall on their
computer.”
Google
didn't respond to a SCMagazine.com request for comment.
Microsoft's
next Patch Tuesday is next week, on January 13.
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.