Tham dự Tech Lounge

Tham dự Tech Lounge


Microsoft chỉ trích Google đã tiết lộ chi tiết lỗi trên Windows 8.1 trước khi họ cập nhật vá lỗi

ND Minh Đức
12/1/2015 12:47Phản hồi: 199
Microsoft chỉ trích Google đã tiết lộ chi tiết lỗi trên Windows 8.1 trước khi họ cập nhật vá lỗi
2666573_Microsoft.jpg

Microsoft đã lên tiếng chỉ trích mạnh mẽ Google do hãng này đã tiết lộ lỗ hổng nghiêm trọng trên hệ điều hành Windows 8.1. Thực ra, đây là một lỗ hổng do Project Zero (một dự án nghiên cứu bảo mật của Google) phát hiện ra và thông báo cho Microsoft hồi 13/10/2014. Theo nguyên tắc làm việc của Project Zero, họ sẽ công bố rộng rãi thông tin về lỗ hổng cho công chúng sau 90 ngày kể từ khi gởi thông báo cho hãng bị dính lỗi.

Khi đó, Microsoft đã yêu cầu Google đừng công bố chi tiết về lỗ hổng trước khi hãng cập nhật vá lỗi. Trên thực tế, bản vá sẽ được Microsoft cung cấp vào hôm thứ 3 - ngày 13/1. Chris Betz, giám đốc cao cấp tại Trung tâm phản ứng An ninh của Microsoft nhận định việc làm của Google là "một sự "bóc mẽ" hơn là theo những nguyên tắc định sẵn" và theo ông thì "người dùng mới là những người có thể bị thiệt hại." Betz nói thêm: "Những gì đúng với Google chưa hẳn là luôn luôn phù hợp với người dùng. Chúng tôi mong rằng Google sẽ xem công tác bảo vệ người dùng như là mục tiêu chung của tập thể." Ngoài ra, Microsoft cũng kêu gọi Google đăng ký vào bộ quy tắc phối hợp tiết lộ lỗ hổng do hãng khởi xướng.

Nhà nghiên cứu bảo mật của Google Ben Hawkes đã lên tiếng bảo vệ nguyên tắc tiết lộ lỗi 90 ngày sau khi phát hiện của hãng. Ông cho rằng: "Đây là thời hạn tiết lộ nhằm tối ưu sự bảo mật của người dùng. Nó tạo sự công bằng giữa người dùng và nhà phát hành. Về phía nhà cung cấp phần mềm, quãng thời gian này đủ để họ có thể thực hiện quy trình xử lý lỗ hổng. Trong khi đó đối với người dùng, điều này cũng tôn trọng quyền được tìm hiểu và nhận biết rủi ro mà họ phải đối mặt."

Tham khảo Technet, Google
199 bình luận
Chia sẻ

Xu hướng

đang dùng Win8.1 nhưng thấy Google làm thế là đúng.
TDCuong_TN
TÍCH CỰC
9 năm
@Cậu Chiến thế cơ á?
hauspeask
ĐẠI BÀNG
9 năm
@Cậu Chiến Mình cũng nghĩ như vậy, MS cũng không nên chỉ trích Google qua đây cũng chỉ là muốn tốt cho người dùng thôi cùng nhau giúp đỡ hjhj
microghost
TÍCH CỰC
9 năm
Đáng ra MS phải cảm ơn GG đã thông báo lỗi đằng này lại trách móc.
@gà múp Sorry, do viết trên đt ko sửa cũng khô,g xóa được, viết quên nghĩ. Ý mình là đừng đọc báo dịch, và chỉ nghĩ theo nd của nó
@nnkjsc Lên máy tính định xem AOE mới đọc lại, GG thông báo ngày 11/1 (90 ngày) bạn ơi, 2 ngày trước ngày MS vá lỗi (13/1-Tuesday) (3 tháng :oops:)
microghost
TÍCH CỰC
9 năm
@thichlangthang Tinhte giờ toàn loại đi ném đá, tỏ ra ta đây. Đệt.
@microghost Bạn phát hiện lỗi mà báo cho MS thì nó cho bạn tiền, còn GG là đối thủ cạnh tranh mà đừng có làm bừa 😁
m203cb
ĐẠI BÀNG
9 năm
Đã thông báo lỗi cho MS, đã chờ 90 ngày đúng như nguyên tắc rồi mà vẫn bị chửi 😃
@m203cb Hôm nay mới chính thức đủ 90 ngày nhé
@m203cb nguyên tắc của bạn đâu phải nguyên tắc của người khác!
Hoàn toàn ủng hộ GG. Anh MS như thế là không được nhé. Mình dùng Windows 7 😁
dino_su
CAO CẤP
9 năm
cũng đúng thôi vì gg lại chỉ ra cho bọn hacker. đáng ra chúng nó chưa phát hiện ra nhưng đc chỉ ra thì khác gì ăn sẵn 😁
Ngoc7621
TÍCH CỰC
9 năm
@dino_su Khắc phục rồi mới công bố mà
@dino_su Chắc tụi nó phải chờ Google cơ đấy, thông báo cho mọi người còn biết mà đề phòng chứ.
khicon_9
TÍCH CỰC
9 năm
thứ 3 vừa rồi là tuần trước hả. vậy thì nó nằm trong khoảng 90 ngày còn gì.
vậy có tính gg chơi xấu ko nhỉ?
khicon_9
TÍCH CỰC
9 năm
@TuanHA@TT :eek::eek::eek: làm LTV mà ko hiểu vài nghìn NV đó lao hết vào để bug một cái lỗi này ah bạn. Cũng như cty của bạn có 1 dự án là tất cả cty lao vào luôn ha:rolleyes::rolleyes:
nhunhien89
TÍCH CỰC
9 năm
@khicon_9 90 ngày chứ ko phải là 3 tháng nhé đếm lại đi rồi hãy nhận xét.
khicon_9
TÍCH CỰC
9 năm
@nhunhien89 ko đọc bài từ đầu thì đừng quote người khác.
BAn đâu mod viết thứ 3 tuần vừa rồi thì nó là ngày 6/1/2015 mà ngày GG gửi là 13/10/2014 tính xem nó có nằm trong 90 ngày ko mà quote. Sau này Mod mới sửa lại như bây giờ 13/1 o_O
nhunhien89
TÍCH CỰC
9 năm
@khicon_9 Xin lỗi bạn, vậy là thằng Mod sai viết bài sửa lại nội dung mà ko hề ghi chú.
CloudNine
TÍCH CỰC
9 năm
tại Google lăng xăng đi công bố lỗi trước thời hạn nên bị giận hờn là phải, mà chắc chỉ là "trách yêu" thôi.
hóng team MS tìm lỗi của gg 😁
@** Happy New Year ** hay đó bạn.
binhmb
ĐẠI BÀNG
9 năm
@** Happy New Year ** tìm được lỗ hổng của gg thì khối tiền
GG : tao báo cho mày hơn 90 ngày rồi nhé. Mày ko sửa thì tao cho tụi hacker biết.
M$ : Mày chơi thế là bẩn, tao về mách má.
Người dùng : ko nói thì tao cũng thiệt, mà nói thì tụi hacker nó xử, tao cũng thiệt. 2 thằng mày chơi kiểu gì tao cũng chết.
microsoft quá chậm phát hành bản vá. GG hoàn toàn đúng.
Các bạn không nên hiểu sai vấn đề, thông tin về lỗ hổng bảo mật nên công bố sau khi nhà sản xuất đã cập nhật cách khắc phục để bảo vệ người dùng, tránh trường hợp các cá nhân, tổ chức lợi dụng thông tin về lỗ hổng đó để tấn công. Thực tế thì lỗ hổng bảo mật luôn tồn tại và các nhà phát triển phải không ngừng hoàn thiện nó...
ntvan
TÍCH CỰC
9 năm
@Rohkeasti_Soturi Việc đưa ra thời hạn 90 ngày của GG là một hình thức ép các hãng khác phải tích cực hơn trong việc vá lỗi để bảo vệ người tiêu dùng, đó là khoảng thời gian khá dài đấy. Chứ không đưa ra thời hạn cụ thể thì khéo phải 2 năm nữa M$ mới vá được lỗi này cũng nên.
Hãng phần mềm lớn nhất thế giới mà 3 tháng trời không vá nổi cái lỗi trên sản phẩm của chính mình, đó là rất thiếu tích cực, thiếu trách nhiệm đối với khách hàng của mình.
Nhớ lại cái vụ Rung và Chuông trên WP8 thì thấy M$ tỏ ra trách nhiệm với khách hàng thế nào rồi đấy.
sao_lai_the
ĐẠI BÀNG
9 năm
@Rohkeasti_Soturi Đây là vấn đề thường xuyên xảy ra trong giới an ninh bảo mật. Không có 1 nhà phát triển phần mềm nào dám khẳng định phần mềm của họ hoàn toàn không có lỗi (error free).

Vậy các chuyên gia bảo mật hay các hãng phần mềm sẽ ứng xử như thế nào nếu họ phát hiện ra/nhận được thông báo lỗi bảo mật?

Khi các chuyên gia bảo mật (cá nhân hay nằm trong tổ chức) phát hiện ra lỗi bảo mật, họ có trách nhiệm thông báo tới nhà phát triển phần mềm đó.

Hãng phần mềm phải có trách nhiệm phân tích lỗi bảo mật này. Đưa ra bản vá cũng như các đánh giá về mức độ nghiêm trọng của lỗi bảo mật để người dùng cập nhật phần mềm của họ.

Thế nhưng không phải hãng phần mềm nào cũng đặt vấn đề xử lý lỗi bảo mật lên hàng đầu. Trong lịch sử, có nhiều hãng phần mềm đã bỏ mặc lỗi bảo mật trong phần mềm của họ hàng năm trời mà không cung cấp bản vá lỗi cho khách hàng. Chỉ đến khi người dùng bị tấn công thông qua lỗ hổng bảo mật đó thì hãng mới chịu đưa ra bản vá lỗi.

90 ngày là khoảng thời gian được coi là đầy đủ để hãng phần mềm cung cấp bản vá lỗi cho người dùng, trước khi lỗi bảo mật chính thức được công bố rộng rãi. Vì không ai có thể khẳng định được các hacker sẽ không phát hiện ra lỗi bảo mật này. Người dùng sẽ cảm thấy như thế nào khi máy tính của họ bị nhiễm mã độc khai thác lỗ hổng do hãng phần mềm chậm chạp trong việc cung cấp bản vá, và họ thì chẳng biết gì về thông tin này cả?

Theo cá nhân tôi, MS đã sai khi trách GG. Và thay vì trách móc GG, MS nên đầu tư thêm nhân lực cho bộ phận xử lý lỗi bảo mật của họ.

Liên quan đến câu chuyện phát hiện lỗ hổng và bản vá lỗi, còn có những chuyện rất thú vị về reverse-engineering hay Zeroo-day attack. Nếu các mem quan tâm, tôi sẽ post sau.
@sao_lai_the nếu căn cứ vào thiệt hại có thê có của người dung, ms không sai vì đã gửi yêu cầu chưa công bố sang gg
SilverA
TÍCH CỰC
9 năm
Bạn không hiểu rồi. Chính M$ đã phát hiện ra lỗi và đang vá lỗi. Nhưng việc thông báo trước khi M$ tung bản vá ra này có thể khiến các hacker lợi dụng lỗi thực hiện hành vi xấu trc khi bản vá đc cung cấp thì liệu ai sẽ phải chịu đây. Nếu lỗi này do ng dùng bt phát hiện rồi thông báo thì còn có thể bỏ qua. Nhưng đây lại là 1 cong ty lớn thì rõ ràng là cạnh tranh k lành mạnh.
HT Thanh
ĐẠI BÀNG
9 năm
@microghost Cho bạn một bài toán 100 câu, câu sau tận dụng kết quả của câu trước, bạn làm trong 100 ngày, làm xong bị phát hiện sai câu 1, bạn làm lại kịp trong 3 ngày không ? Thật ra là muốn chơi nhau thôi, quan trọng người dùng chịu thiệt.
@tươi vui có lí, lựa 1 đống cmt mới thấy 1 ý hay!!
vunt
TÍCH CỰC
9 năm
@Lumia 520 - Windows Phone Đến cả cái App Youtube Microsoft làm cực kỳ ngon, ngon hơn cả App Youtube trên Android Google còn cấm...
@vunt vậy à bạn, đó giờ cứ nghĩ youtube ms làm được đánh giá thấp cơ!
đây là nguyên tắc làm việc chứ ko phải là ai cảm ơn ai, ms muốn thông báo cho người dùng sau khi khắc phục xong lỗi. nếu thông báo sớm người dung sẽ bị thiệt hại.
unwrittlaw
TÍCH CỰC
9 năm
GG toàn dùng trò bẩn thỉu, từ youtube trên wp giờ lại đến cái này
cơ chế nhận và xử lý lỗi sau đó phát hành bản vá của MS đến người dùng còn q úa chậm chạp. Đi sau Linux rất nhiều lần. Google làm vậy là đúng thôi. Nếu cứ im im thì chẳng biết bao giờ MS vá lỗi
Sunslayer
ĐẠI BÀNG
9 năm
@denmilu Số lượng người dùng phổ thông Linux so với Windows chẳng bằng 1 góc, thiệt hại của người dùng do hacker lợi dụng điểm này rõ ràng sẽ lớn. MS vẫn vá lỗi hàng tuần đấy thôi, đâu phải lúc nào cũng vá nhanh được. GG làm vậy để được cái gì? Lấy tiếng để người dùng chuyển qua xài Chrome OS chắc? Rõ vớ vẩn chứ đúng cái gì? Nguyên tắc gì cũng vậy, phải đưa lợi ích người dùng lên trên hết.
@Sunslayer Lợi ích người dùng ở đây là phải tung bản vá lỗi càng nhanh càng tốt. ĐÀng này anh MS lại đợi hơn 100 ngày mới vá thì lợi ích người dùng chỗ nào?
Người dùng Linux ko nhiều vì nó không dành cho người dùng phổ thông, ngay cả máy chủ tinhte.vn này cũng đang chạy linux đó. VÀ nói thêm với bác là khả năng tung ra các bản vá của linux cực nhanh không phải đợi như kiểu tuesday patch như windows đâu.
Sunslayer
ĐẠI BÀNG
9 năm
@denmilu Ở đây đang nói lợi ích của người dùng phổ thông vì Windows vẫn là hệ OS thông dụng số 1 toàn cầu, cũng ko nói vấn đề là tung patch nhanh chậm (cho dù chưa đủ 100 ngày), chủ đề là đang nói GG chơi ko đẹp, làm ảnh hưởng người dùng, MS nó vẫn vá lỗi, chứ có phải ko đâu, nhưng nguyên tắc nào đặt ra đều phải đưa lợi ích người dùng đi đầu, ko phải là kiểu tê hê lên cho kẻ xấu nó để ý lợi dụng.
@Sunslayer Không công bố ra là MS nó không fix lỗi đâu bạn ạ. Trong trường hợp này MS mới chính là người coi thường khách hàng khi không chịu thừa nhận đó là 1 lỗi nữa kìa. Bạn chịu khó tìm đọc các bài bằng tiếng Anh nói về quá trình trao đổi giữa MS và đội tìm lỗi của GG thì biết 😃
MI: GG chú để anh lừa thêm ít gà nữa đã 😁
dangphucvn
TÍCH CỰC
9 năm
Như thế này khác nào GG công bố lỗi cho hacker? Troll à?
baodng
TÍCH CỰC
9 năm
Cho 90 ngày còn la ó om xòm, gặp mình mình detect ra lỗi là báo ngay cho chết Micro.
vobenho
ĐẠI BÀNG
9 năm
@baodng nguy hiễm quá, chôn nó đi!
baodng
TÍCH CỰC
9 năm
@vobenho Viết đúng chính tả trước đi đã rồi hãy nói người khác thím.
veerkun
ĐẠI BÀNG
9 năm
Phát hiện ra và thông báo cho Microsoft hồi 13/10/2014
Ngày công bố lỗi của google ko nói là ngày nào nhưng hình như là họ làm đúng sau 90days mới publish. Nhưng MS chậm update thôi

Xu hướng

Bài mới









  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2024 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
  • Số điện thoại: 02822460095
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019