Google lại tiếp tục "vỗ mặt" Microsoft bằng cách công bố lỗ hổng trên Microsoft Edge và Internet Explorer

Có vẻ như thời gian vừa qua là khoảng thời điểm mà ngành bảo mật an ninh thông tin trở nên khá sôi động, khi mà Google đã crack thành công SHA1. Sau đó, cũng chính Google khám phá thành công lỗi Cloudbleed trong Cloudfare vốn đã khiến cho hàng loạt thông tin nhạy cảm bí mật bị lộ ra từ các website sử dụng Cloudflare.

Google cũng đã tìm và góp công vào quá trình sửa chữa một lỗ hổng trong thư viện dữ liệu của Windows Device Interface (GDI), trước đó đã gây nên những ảnh hưởng và nguy cơ tiêu cực cho các hệ điều hành của Windows kể từ Windows Vista Service Pack 2 cho tới Windows 10 mới nhất.

Tuy nhiên, dù lỗi hệ thống đó vừa mới được giải quyết xong, Google lại tiếp tục phát hiện ra được một nhược điểm nữa trong nền tảng trình duyệt của Windows. Được biết, tính đến lúc công bố, Microsoft vẫn chưa tiến hành khắc phục xong lỗi trình duyệt này, và Google được phép thông qua công khai vì đã quá hạn 90 ngày giữ bí mật dành cho quá trình sửa chữa hệ thống của Microsoft.

Cụ thể, lỗ hổng CVE-2017-0037 được nhà nghiên cứu Ivan Fratric trong đội ngũ Google Project Zero tìm ra, thuộc loại xuất hiện trong Microsoft Edge và Internet Explorer có khả năng dẫn đến việc bất chợt tự thi hành và khởi chạy một đoạn mã lập trình nào đó.

Bằng chứng tận tay

Với những chi tiết được liệt ra về lỗi thực thi này, các chuyên gia liên quan cũng đã công bố một quá trình thử nghiệm mô phỏng lỗi rò rỉ đó với hậu quả là làm sập Edge và IE, mở ra các nguy cơ cho hacker xâm nhập và chiếm quyền quản trị hệ thống.

Fratric cho biết ông đã thành công trong việc cố tình đưa đoạn mã thử nghiệm đó của mình để chạy trong phiên bản 64-bit của IE trên Windows Server 2012 R2, và biết thêm rằng cả IE 11 32-bit và Microsoft Edge cũng gánh chịu tương tự. Nói cách khác, người dùng Windows 7, Windows 8.2 và Windows 10 là nằm trong diện có khả năng bị liên lụy.

Bạn có thể tìm hiểu thêm về những tài liệu đưa ra bởi Google tại đây, cùng với đoạn mã code mô phỏng có mục đích thử đánh sập trình duyệt, nhưng tất nhiên là hacker sẽ không nương tay như các chuyên gia chỉ để làm sập hệ thống trình duyệt của bạn không thôi đâu.

Lỗi hệ thống này thực ra dã được Google thông báo đến Microsoft từ 25/11 năm 2016, nhưng quá hạn 60 ngày giữ kín để khắc phục mà chưa thấy động thái gì đáp lại từ Microsoft, nên Google quyết định vẫn công khai ra cho cộng đồng công nghệ.

3 lần công bố, nhưng vẫn chưa được khắc phục

Microsoft vẫn còn 2 lỗ hổng trước đó được phát hiện ra rồi mà chưa kịp sửa chữa, và lần này tiếp tục lộ ra thêm một lỗi nữa, khó có thể nói rằng công ty công nghệ xứ Redmond sẽ nhanh chóng tung ra bản sửa lỗi nhanh chóng kịp thời cho cả 3 được. Đó là yếu tố đủ để các thành phần hacker lợi dụng tấn công vào người dùng non nớt, không có nhiều kiến thức trang bị bảo mật.

2 lỗi trước đó liên quan đến giao thức chia sẻ Windows SMB ở Windiws 8, Windows 10 và Windows Server; lỗi thứ 2 là khi cũng chính Google vừa mới tìm ra tuần trước, ảnh hưởng đến Windows Vista Service Pack 2 cho tới Windows 10.

Để phòng ngừa mọi rủi ro thì người dùng Windows được khuyến cáo sử dụng một trình duyệt dự phòng khác ngoài IE và Edge, và cũng không tùy tiện nhấn vào các đường link và website không an toàn.

Tham khảo: TheHackerNews