Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Google tiết lộ lỗ hổng Zero-day thứ 3 trên Windows
Google tiếp tục lờ đi lời kêu gọi của Microsoft về việc linh hoạt trong thời hạn công bố lỗ hổng trên Windows bằng việc đưa ra chi tiết một lỗ hổng khác trên sản phẩm này, cách “ngày thứ 3 bản vá” tháng tới của Microsoft 25 ngày.
Lỗ hổng trên Windows 7 và Windows 8.1 mới được Google công bố có thể cho phép tin tặc qua mặt tính năng an ninh bằng việc lợi dụng ứng dụng mã hóa bộ nhớ và trao đổi dữ liệu giữa các tiến trình trong cùng phiên đăng nhập.
Các chuyên gia Project Zero của Google cho biết: “Lỗ hổng do CNG.sys không kiểm tra impersonation level của token khi bắt ID phiên đăng nhập dẫn đến một người dùng thông thường cũng có thể đạt Identification level (mức Định danh) và giải mã hoặc mã hóa dữ liệu trong phiên đăng nhập. Nguy cơ tấn công xảy ra khi tồn tại một dịch vụ chứa lỗ hổng hoặc dịch vụ lưu trữ dữ liệu mã hóa trong phần bộ nhớ chia sẻ đọc được”.
Theo Project Zero, Microsoft được cảnh báo về lỗ hổng vào ngày 17/10 và ban đầu dự kiến sẽ vá vào “ngày thứ 3 bản vá” của tháng 1, tức 3 hôm trước. Tuy nhiên, bản vá bị trì hoãn do các vấn đề liên quan đến khả năng tương thích.
Các chuyên gia Google không hài lòng với sự chậm trễ này và mặc định sau 90 ngày công bố chi tiết lỗ hổng và mã khai thác.
Như vậy, người dùng có thể mong chờ bản vá lỗ hổng vào vào ngày 10/2 tới – “ngày thứ 3 bản vá” của tháng 2. Tất nhiên, Microsoft có thể đưa ra bản vá tại bất kỳ thời điểm nào, nhưng hãng hiếm khi làm điều đó và nếu có cũng là đối với lỗ hổng nghiêm trọng mà tin tặc đang khai thác.
Đây là lỗ hổng trên Window thứ 3 mà các chuyên gia Project Zero công khai trong tháng do Microsoft không đưa ra bản vá sau 90 ngày từ khi nhận được thông báo từ Google.
Lỗ hổng trên Windows 7 và Windows 8.1 mới được Google công bố có thể cho phép tin tặc qua mặt tính năng an ninh bằng việc lợi dụng ứng dụng mã hóa bộ nhớ và trao đổi dữ liệu giữa các tiến trình trong cùng phiên đăng nhập.
Các chuyên gia Project Zero của Google cho biết: “Lỗ hổng do CNG.sys không kiểm tra impersonation level của token khi bắt ID phiên đăng nhập dẫn đến một người dùng thông thường cũng có thể đạt Identification level (mức Định danh) và giải mã hoặc mã hóa dữ liệu trong phiên đăng nhập. Nguy cơ tấn công xảy ra khi tồn tại một dịch vụ chứa lỗ hổng hoặc dịch vụ lưu trữ dữ liệu mã hóa trong phần bộ nhớ chia sẻ đọc được”.
Theo Project Zero, Microsoft được cảnh báo về lỗ hổng vào ngày 17/10 và ban đầu dự kiến sẽ vá vào “ngày thứ 3 bản vá” của tháng 1, tức 3 hôm trước. Tuy nhiên, bản vá bị trì hoãn do các vấn đề liên quan đến khả năng tương thích.
Các chuyên gia Google không hài lòng với sự chậm trễ này và mặc định sau 90 ngày công bố chi tiết lỗ hổng và mã khai thác.
Như vậy, người dùng có thể mong chờ bản vá lỗ hổng vào vào ngày 10/2 tới – “ngày thứ 3 bản vá” của tháng 2. Tất nhiên, Microsoft có thể đưa ra bản vá tại bất kỳ thời điểm nào, nhưng hãng hiếm khi làm điều đó và nếu có cũng là đối với lỗ hổng nghiêm trọng mà tin tặc đang khai thác.
Đây là lỗ hổng trên Window thứ 3 mà các chuyên gia Project Zero công khai trong tháng do Microsoft không đưa ra bản vá sau 90 ngày từ khi nhận được thông báo từ Google.
Theo PCWorld