Firefox đánh bại Edge về khả năng phản ứng nhanh với lỗ hổng bảo mật lớn trên trình duyệt

Jake Archibald - một nhà phát triển của trình duyệt Google Chrome, vốn là trình duyệt không nằm trong phạm vi ảnh hưởng của lỗ hổng nói trên - đã phát hiện ra lỗ hổng mà anh gọi là "Wavethrough", bởi nó lợi dụng một tập tin âm thanh WAV trong trình duyệt để thu thập các dữ liệu trên máy tính nạn nhân.

Lỗ hổng này có tiềm năng được sử dụng để chiếm đoạt một số dữ liệu cá nhân nhạy cảm nếu người dùng bị thuyết phục ghé thăm một trang web độc hại được thiết kế để tận dụng lỗ hổng bảo mật này. Archibald nói rằng: "Nó có nghĩa là bạn có thể ghé thăm trang web của tôi bằng trình duyệt Edge, và tôi có thể đọc được email của bạn, có thể đọc feed Facebook của bạn, tất cả đều âm thầm, bạn không biết được".

Tin tốt là, lỗ hổng này hiện đã được vá trên cả hai trình duyệt bị ảnh hưởng. Nhưng điều thú vị nhất là cách mà Mozilla và Microsoft lần lượt phản ứng với vấn đề.

Archibald quan sát được rằng "Firefox xử lý vấn đề này một cách thông minh" - chỉ trong vòng 3 giờ sau khi lỗi được xác nhận, Mozilla đã vá xong và thậm chí còn nghiên cứu các lỗ hổng tiềm ẩn nguy cơ tương tự.

"Tôi đã liên hệ trực tiếp được với các kỹ sư để tìm hiểu vấn đề này nên được vá như thế nào" - Archibald nói thêm, và khi lỗ hổng bị phát hiện trong một bản beta, Mozilla đã lập tức vá nó lại trước khi họ tung ra bản Firefox chính thức. Vụ việc này diễn ra hồi tháng 3 năm nay.

Về phía Firefox, Archibald kể một câu chuyện hoàn toàn khác. Anh này đã báo cho nhóm bảo mật của Microsoft về lỗi này vào ngày 1/3, nhưng sau đó đã phải trải qua khá nhiều thủ tục để thực sự thuyết phục nhóm này nghiên cứu vấn đề, và anh phải đợi 20 ngày liên tục mà chẳng nhận được phản hồi nào.

Cuối cùng, sau một hồi "vờn" nhau, nhóm bảo mật của Microsoft đã thông báo với Archibald rằng họ đúng là đang phát triển một bản vá, nhưng không đưa ra thêm thông tin chi tiết nào. Archibald lại phải chờ thêm một thời gian khá lâu nữa để nhận được tiền thưởng nhờ phát hiện lỗi, mà theo anh thì sẽ đóng góp cho từ thiện.

Archibald nhận định rằng toàn bộ quy trình của Microsoft khiến anh có cảm giác như một đợt thử nghiệm, và nói rằng "Tôi thực sự muốn Microsoft nhìn vào trải nghiệm tôi đã có với Firefox và học hỏi từ đó. Những vấn đề bảo mật như thế này đặt người dùng trước nguy cơ lớn, và họ cần đảm bảo việc thông báo những lỗi này phải thật đơn giản và nhanh chóng".

Microsoft đã vá vấn đề này trên Edge trong các bản vá mới nhất hồi đầu tháng nay, với phân loại bản cập nhật là "quan trọng". Archibald đã đưa một đường link lên blog của mình để bạn có thể tự kiểm tra xem cuộc tấn công này có ảnh hưởng đến phiên bản Edge của máy bạn hay không, và khuyên bạn nên nhanh chóng cập nhật trình duyệt ngay khi có thể.

Microsoft từ lâu đã luôn nổi tiếng về việc tập trung vào bảo mật trên Windows 10 cũng như Edge - vốn là trình duyệt mặc định của Windows 10. Tuy nhiên, hãng có vẻ chưa có chiến lược cụ thể trong việc đánh bại các lỗ hổng hoặc các hacker. Rõ ràng, nếu xét trải nghiệm của Archibald thì Microsoft chắc chắn có một số việc phải làm liên quan đến tổ chức và thông tin liên lạc đối với nhóm bảo mật.

Đây cũng không phải là lần đầu Edge bị chỉ trích trong năm nay bởi sự lề mề trong phản ứng để vá một lỗ hổng.

Tham khảo: TechRadar