Google công bố lỗi Apple OS X chưa được vá

Ảnh minh họa: mitnicksecurity.com

Các chuyên gia thuộc Project Zero (*) của Google đã công bố ba lỗi dạng 0-day (zero-day, chưa có bản vá khi phát hành thông tin) trong hệ điều hành OS X của Apple.

Tuy nhiên, không có lỗi nào trong cả ba thuộc nhóm "rất nguy hiểm", vì muốn khai thác chúng, hacker phải có sẵn một số truy xuất đến máy tính mục tiêu, như lỗi "bộ nhớ kernel IOKit" yêu cầu phải có một thiết bị Bluetooth đã kết nối đến máy tính mục tiêu.

Nhóm Project Zero công bố chi tiết lỗi, bao gồm mã khai thác thử nghiệm, tiếp tục làm dấy lên những tranh luận từ cộng đồng bảo mật lẫn người dùng. Với những thông tin chi tiết được công bố, hacker trình độ cao có thể viết các mã độc tấn công những mục tiêu chưa khắc phục lỗi.

Ba lỗi bảo mật trong hệ điều hành OS X được Google báo riêng đến Apple lần lượt trong ba ngày , và -10-2014, kèm theo thông báo về chính sách "công bố chi tiết lỗi sau 90 ngày". Đây là khoảng thời gian Project Zero để nhà sản xuất kịp xây dựng bản vá và phát hành đến người dùng của mình, trước khi nhóm công bố chi tiết lỗi lên mạng.

Đầu tháng Một, Project Zero đã làm Microsoft và người dùng Windows choáng váng khi công bố chi tiết một lỗi nguy hiểm dạng 0-day chưa có bản vá. Google đã thông báo đến Microsoft về lỗi này, và đưa đầy đủ thông tin lên mạng sau 90 ngày.

* Xem: 

Việc này cũng đã nhận nhiều phản ứng từ cộng đồng an ninh mạng vì lo ngại tính an toàn của nhiều triệu máy tính dùng Windows 8.1 khi chưa có bản vá. Số khác chê trách Microsoft đã không kịp thời phát hành bản vá lỗi khi nhận thông tin từ Google.

(*): Project Zero quy tụ các chuyên gia nghiên cứu bảo mật, tấn công thử nghiệm và phát hiện lỗi trong các phần mềm được sử dụng rộng rãi, thông báo riêng đến nhà sản xuất để vá lỗi và công bố chi tiết sau 90 ngày kể từ thời điểm đó.

Lỗi 0-day nguy hiểm trong Flash bị khai thác tràn lan Trong một diễn biến khác, cách tấn công khai thác lỗi bảo mật 0-day trong phiên bản mới nhất của trình tiện ich đa phương tiện Adobe Flash đã được hacker Kafeine đưa vào công cụ Angler. Flash Player có mặt trong hầu hết các máy tính trên thế giới, do đó, nó luôn là mục tiêu của hacker khai thác các lỗ hổng bảo mật - Ảnh: Malwarebytes Angler Exploit Kit là công cụ tấn công bằng cách khai thác các lỗi bảo mật nguy hiểm, bao gồm cả lỗi 0-day trong các phần mềm được sử dụng phổ biến. Angler rất được ưa chuộng ở thị trường "chợ đen" của thế giới ngầm, rao bán trên các diễn đàn của hacker. Bất kỳ ai mua công cụ này đều có thể sử dụng tấn công các mục tiêu với những phương thức mới nhất. * Xem:  Đoạn tin nhắn của Kafeine đăng tải lên mạng Twitter cho thấy Angler có thể khai thác thành công lỗi trong Adobe Flash phiên bản mới nhất - Ảnh: Malwarebytes Lỗi bảo mật 0-day trong Flash đã được xác nhận bởi nhóm sản xuất phần mềm bảo mật Malwarebytes. Chuyên viên nghiên cứu Jérôme Segura từ Malwarebytes cho biết, kẻ tấn công đang dựa vào lỗi để xây dựng một mạng máy tính ma (botnet) mang tên Bedep. Hãng Adobe cho biết đang kiểm tra thông tin.  Giới bảo mật khuyến cáo, cho đến khi có bản nâng cấp khắc phục lỗi được Adobe phát hành, người dùng nên tắt Flash Player trong trình duyệt web FireFox, IE11 (xem chi tiết) , hạn chế tối đa sử dụng hay mở nội dung Flash. Luôn sử dụng các chương trình như Kaspersky Internet Security 2015 hay Malwarebytes để ngăn chặn những cuộc tấn công như của Angler. Xem cách tắt Adobe Flash trong trình duyệt Internet Explorer 11 (IE11) .