Microsoft tố Google vô trách nhiệm khi công khai lỗi bảo mật

Có vẻ như vấn đề bảo vệ an toàn cho thế giới ảo, bảo mật và an ninh mạng là nhiệm vụ không của riêng ai. Có lẽ vì vậy mà dù có trọng trách riêng, Microsoft vẫn thường xuyên “nhúng mũi” vào chuyện công bố lỗi bảo mật từ phía Google. Nhưng sự “nhiều chuyện” này của Microsoft là tích cực và chính đáng.

Năm ngoái Google đã làm phật ý Microsoft với việc thông báo lỗi trong hệ thống win32k khi mà Google đã tiết lộ công khai lỗ hổng bảo mật cực kỳ nghiêm trọng trong hệ thống win32k chỉ sau 10 ngày thông báo cho “đối thủ”, tức Microsoft. Cách hành xử này của công ty tìm kiếm lớn nhất hành tinh được cho là không chơi đẹp cho lắm.

Dĩ nhiên, Microsoft cũng đã nhanh chóng tung ra bản vá lỗi để bảo vệ người dùng Chrome, trong khi hệ điều hành Windows vẫn tồn tại nhiều lỗ hổng. Microsoft khá bực bội ra mặt trước hành động của Google và coi đó là việc làm thiếu trách nhiệm. Quân tử báo thù mười năm chưa muộn, huống chi là trong thế giới công nghệ, đơn vị thời gian dường như tính đến từng nano-giây cũng sản sinh hàng tá vấn đề và thay đổi.

Vào tháng 9, Microsoft phát hiện một lỗ hổng bảo mật trên trình duyệt Chrome và đây là cơ hội để công ty chứng minh mình có trách nhiệm về những công bố của mình. Trong bài viết trên trang blog Microsoft, nhóm an ninh Windows đã chỉ ra vấn đề thực thi mã trong Chrome và chỉ trích cách tiếp cận của Google về các bản vá bảo mật.

“Chúng tôi đã tiết lộ một cách có trách nhiệm về lỗi bảo mật mà chúng tôi phát hiện ra về lỗ hổng thực thi mã lệnh từ xa (REC) cho Google vào ngày 14 tháng 9 năm 2017”, Jordan Rabet, thành viên của nhóm nghiên cứu bảo mật Microsoft viết. Google đã vá lỗi đó trong vòng một tuần trên phiên bản Chrome beta, nhưng bản chính thức “vẫn dễ bị tổn thương trong gần một tháng”.

Điều này thường không phải là vấn đề với hầu hết các bản vá lỗi phần mềm, nhưng Microsoft chỉ trích cách tiếp cận của Google trong việc tạo mã nguồn bản sửa lỗi trên Github trước khi sửa lỗi trên kênh chính thức, tức sẽ tạo cơ hội cho tin tặc tìm hiểu về lỗ hổng trong một tháng đó. 

Ngoài ra, bài đăng của Microsoft còn nhắc nhở toàn ngành công nghiệp phải trách nhiệm hơn trong việc tiết lộ các lỗ hổng bảo mật. Hãng nhân cơ hội này nhấn mạnh bản thân đã rất “riêng tư”  một cách tế nhị khi thông báo lỗi trên Chrome và khẳng định sẽ tiếp tục làm như vậy, đồng thời kêu gọi mọi người cũng hành động tương tự.

Google bị chỉ trích về quy trình thông báo lỗ hổng khi cho phép các kỹ sư công khai lỗi sau 7 ngày thông báo cho nhà phát triển sản phẩm hoặc dịch vụ. Hãng tỏ ra năng nổ trong việc “vạch lá tìm sâu” trên các sản phẩm của Microsoft và nhiều khi tiết lộ nó trước cả khi có bản vá chính thức. Điều này là lý do khiến Microsoft tức giận.

Nói chung trong cuộc chiến này, dù sao đi nữa, khía cạnh tích cực là vấn đề bảo mật luôn luôn được lưu tâm hàng đầu với cả hai hãng công nghệ khổng lồ trên.

XD