Công ty bảo mật Vupen (Pháp) sẽ bán lỗ hổng zero-day trong hệ điều
hành Windows 8 và trình duyệt Internet Explorer 10 mới nhất của
Microsoft.
Vupen là công ty Pháp chuyên tìm kiếm các lỗ hổng trong
nhiều phần mềm được sử dụng rộng rãi của những công ty như Microsoft,
Adobe, Apple và Oracle. Sau khi tìm thấy lỗ hổng, Vupen không chia sẻ
chi tiết với nhà cung cấp phần mềm bị ảnh hưởng mà sẽ chỉ vá lỗi cho
những cơ quan chính phủ/doanh nghiệp/… đang sử dụng phần mềm, chịu trả
tiền cho họ, giúp các tổ chức này bảo vệ mình khỏi bị tin tặc tấn công.
Vupen
đã tìm thấy vấn đề mới xuất hiện trong hệ điều hành Windows 8 mới của
Microsoft và trình duyệt Internet Explorer 10 (IE10) của hãng. Lỗ hổng
này vẫn chưa được công ty khắc phục hoặc công bố công khai.
Phát
hiện này của Vupen là một trong những vấn đề đầu tiên đối với Windows 8
và IE10, mặc dù nhiều lỗ hổng đã được tìm thấy trong các phần mềm của
bên thứ chạy trên Windows 8.
Thông điệp trên Twitter của Vupen
được viết hôm thứ Tư 31/10/2012, ngụ ý rằng lỗ hổng sẽ cho phép tin tặc
vượt qua các công nghệ bảo mật có trong Windows 8, bao gồm Address Space
Layout Randomization (ASLR), anti-Return Oriented Programming
(anti-ROP) và Data Execution Prevention (DEP). Công ty cũng chỉ ra rằng,
lỗ hổng không liên quan tới vấn đề của trình đa phương tiện Flash của
Adobe System.
"Chắc chắn, nếu lỗi được xác nhận, thì điều này có
thể là một đòn giáng vào Microsoft khi Windows 8 - nền tảng được họ
quảng cáo là an toàn nhất - đã ‘dính’ lỗi ngay sau khi phát hành công
khai", ông Andrew Storms, giám đốc các hoạt động bảo mật của nCircle
nói.
Vậy lỗ hổng này đáng giá thế nào? Thật khó để nói. Vupen
không công bố giá công khai. Nhưng nhà tư vấn Jody Melbourne của công ty
HackLabs (có trụ sở tại Sydney, Úc) cho biết, "giá trị của lỗi này sẽ
chỉ tăng theo thời gian nếu không có ai ngoài Vupen tìm ra nó".
---------------------------------------------------------------------------------------------------------
Không có nhận xét nào:
Đăng nhận xét