Google xuất bản các chi tiết lỗi của Windows 8.1 trước khi bản vá được phát hành

Google publishes Windows 8.1 flaw details before patch is issued

By Ashley Carman, January 05, 2015

Theo: http://www.scmagazine.com/windows-8-elevation-of-privilege-flaw-detailed-online/article/390995/

Bài được đưa lên Internet ngày: 05/01/2015

Các lỗi sống còn của thế giới phần mềm năm 2014

Lời người dịch: Microsoft đã không đủ thời gian để đưa ra bản vá cho mỗi lỗi leo thang quyền ưu tiên trong Windows 8.1 dù đã được Google báo trước 90 ngày. “Lỗi này là trong NtApphelpCacheControl, một hàm được sử dụng cho việc lưu tạm thông tin tương thích ứng dụng, và có thể được sử dụng để vượt qua sự kiểm soát tài khoản người sử dụng và cho phép một ứng dụng độc hại hành động như một người quản trị, Sophos đã viết trên blog an toàn của hãng. Tuy nhiên, lỗi này cũng có thể bị khai thác nếu một thiết bị đã bị tổn thương rồi”. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.

Gần 3 tháng sau khi nhóm được tạo ra, đội “Dự án 0” (Project Zero) của Google đã phát hiện một lỗi leo thang quyền ưu tiên trong Windows 8.1, và 90 ngày sau khi mở nó ra cho Microsoft, các nhà nghiên cứu đã chi tiết hóa chỗ bị tổn thương này trên trực tuyến.

Lỗi này là trong NtApphelpCacheControl, một hàm được sử dụng cho việc lưu tạm thông tin tương thích ứng dụng, và có thể được sử dụng để vượt qua sự kiểm soát tài khoản người sử dụng và cho phép một ứng dụng độc hại hành động như một người quản trị, Sophos đã viết trên blog an toàn của hãng. Tuy nhiên, lỗi này cũng có thể bị khai thác nếu một thiết bị đã bị tổn thương rồi.

Dù Google đã cho Microsoft 90 ngày để có hiệu quả vá lỗi, người tạo ra Windows đã không phát hành một sửa lỗi trong khoảng thời gian đó. Chris Boyd, nhà phân tích tri thức phần mềm độc hại ở Malwarebytes, nói trong một bình luận được chuẩn bị sẵn cho SCMagazine.com rằng công ty công nghệ đó có lẽ đã cần nhiều thời gian hơn để sửa vấn đề này.

“Trong khi 90 ngày có thể là đủ dài để sửa các lỗi được tìm thấy trong nhiều mẩu phần mềm, thì chúng tôi không thể nói chắc chắn những gì Microsoft có thể phải làm đằng sau sân khấu để giải quyết vấn đề này”, Boyd nói. “Nó không thể mạo hiểm giới thiệu nhiều chỗ bị tổn thương hơn hoặc phá các thành phần chính bằng việc vội vã sửa lỗi”.

Trong khi đó, trang của Google chi tiết hóa chỗ bị tổn thương được điền đầy với các bình luận từ những người sử dụng mà nói sự phơi lộ lỗi này có thể ảnh hưởng tới hàng tỷ người và sự phát hành của nó có thể rốt cuộc làm hại những người sử dụng Windows, ngược lại việc giúp thúc đẩy Microsoft đưa ra một bản vá.

Về phần mình, một người phát ngôn của Microsoft nói hãng đang làm việc để phát hành một bản cập nhật an toàn và nhắc những người sử dụng vẫn giữ cẩn thận về các thực tiễn về an toàn.

“Điều quan trọng để lưu ý rằng đối với một kẻ có thể tấn công để tiềm tàng khai thác một hệ thống, chúng có thể trước tiên cần có ủy quyền đăng nhập hợp lệ và có khả năng đăng nhập cục bộ vào một máy đích”, người phát ngôn nói trong một thư điện tử cho SCMagazine.com. “Chúng tôi khuyến khích các khách hàng giữ các phần mềm chống virus của họ được cập nhật, cài đặt tất các các bản cập nhật an toàn và bật tường lửa lên trên máy tính của họ”.

Google đã không trả lời cho một yêu cầu bình luận của SCMagazine.com.

Bản vá ngày thứ Ba tiếp sau của Microsoft là vào tuần sau, ngày 13/01/2015.

Nearly three months after the group's creation, Google's “Project Zero” team discovered an elevation of privilege flaw in Windows 8.1, and 90 days after disclosing it to Microsoft, the researchers have detailed the vulnerability online.

The flaw is in NtApphelpCacheControl, a function that is used for caching application compatibility information, and could be used to bypass user account control and allow a malicious application to act as an administrator, Sophos wrote in its security blog. The flaw can only be exploited if a device has already been compromised, however.

Although Google gave Microsoft 90 days to effectively patch the flaw, the Windows creator did not release a fix during that time period. Chris Boyd, malware intelligence analyst at Malwarebytes, said in a prepared comment to SCMagazine.com that the tech company might have needed more time to fix the issue.

“While 90 days may be long enough to fix flaws found in many pieces of software, we can't say for certain what Microsoft would have to do behind the scenes to address this issue,” Boyd said. “It can't risk introducing more vulnerabilities or break key components by rushing a fix.”

Meanwhile, Google's page detailing the vulnerability filled with comments from users who said this flaw's exposure could impact billions and its release would ultimately harm Windows users, as opposed to helping push Microsoft to issue a patch.

For its part, a Microsoft spokesperson said the company is working to release a security update and reminds users to remain vigilant on security practices.

“It is important to note that for a would-be attacker to potentially exploit a system, they would first need to have valid logon credentials and be able to log on locally to a targeted machine,” the spokesperson said in an email to SCMagazine.com. “We encourage customers to keep their anti-virus software up to date, install all available security updates and enable the firewall on their computer.”

Google didn't respond to a SCMagazine.com request for comment.

Microsoft's next Patch Tuesday is next week, on January 13.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com