Microsoft tuyên bố, Google đang tỏ ra bất hợp tác khi bất ngờ tiết lộ công khai một lỗ hổng nghiêm trọng trên Windows, chỉ 10 ngày sau khi thông báo cho Microsoft biết.
ảnh minh họa
Hôm 31/10, Google đã cho đăng tải thông tin về lỗ hổng "zero day" (lỗ hổng chưa được công bố hoặc chưa được khắc phục) của hệ điều hành Windows. "Lỗ hổng này đặc biệt nghiêm trọng vì chúng tôi biết nó đang bị lợi dụng triệt để", Google nhấn mạnh.
Theo Google, các hacker đã khai thác lỗ hổng trong phần cốt lõi của Windows, thông qua một lỗi trên hệ thống win32bit để "qua mặt" các sandbox bảo mật. Cho tới hiện tại, Microsoft vẫn chưa phát hành bản vá lỗi hay đưa ra khuyến cáo về lỗ hổng phần mềm này.
Google đã thông báo cho Microsoft về vấn đề nghiêm trọng trên cách đây 10 ngày, hôm 21/10. Hãng tuyên bố đã dành thời gian để Microsoft tự khắc phục vấn đề trước khi lên tiếng về nó. Tuy nhiên, Google cũng có một chính sách chặt chẽ, chỉ cho các nhà cung cấp sản phẩm/dịch vụ 7 ngày để vá lỗi hoặc phát đi cảnh báo về lỗ hổng trên sản phẩm/dịch vụ của họ.
Trong một bài viết đăng tải năm 2013, Google từng giải thích rằng, 7 ngày là thời hạn rất gấp và có thể quá ngắn để cập nhật sản phẩm đối với một số nhà cung cấp. Song, thời hạn này đủ để các nhà cung cấp đó đưa ra khuyến cáo công khai về cách phòng ngừa hoặc giảm nhẹ nguy cơ.
Tuy nhiên, với diễn biến mới, Microsoft đã lên án động thái của Google. Họ cáo buộc việc tiết lộ lỗ hổng trên Windows của Google có thể đẩy các khách hàng của công ty vào rủi ro tiềm tàng.
Đây không phải là lần đầu tiên hai công ty bất đồng về việc công khai lỗ hổng bảo mật. Năm 2015, Google từng thông báo cho công chúng biết những lỗ hổng chưa xác định trên Windows, trước khi Microsoft có cơ hội phát hành những bản vá lỗi. Việc này từng khiến Microsoft vô cùng tức giận vào thời điểm đó.
Brian Martin, giám đốc phục trách thông tin lỗ hổng tại công ty bảo mật Risk Based Security, nhận định, Microsoft có thể tìm ra giải pháp khắc phục vấn đề trong vòng 7 ngày. Vá lỗi Windows có thể đồng nghĩa với việc giải quyết các vấn đề ở nhiều nền tảng khác nhau của hệ điều hành và đảm bảo rằng bản vá lỗi không phá vỡ bất kỳ chương trình lập trình hiện hữu nào.
Ông Martin nói thêm rằng, việc tạo ra một bản vá lỗi trong vòng vài ngày tất nhiên vô cùng phức tạp và khó khăn. Song, Google có một số căn cứ để công khai cảnh báo công chúng, đặc biệt khi các hacker đang khai thác lỗ hổng trên Windows này.
Google đồng thời cho biết, với Windows 10, trình duyệt Chrome của hãng sẽ ngăn chặn vấn đề xảy ra. Với sandbox bảo mật của mình, Chrome có thể vô hiệu hóa việc khai thác lỗi hệ thống win32k.sys.
