An ninh mạngnews

Microsoft đe dọa hành động pháp lý sau khi nhà nghiên cứu công bố lỗ hổng chưa được vá kèm mã khai thác

bởi Doppler Team3 phút đọc
Microsoft đe dọa hành động pháp lý sau khi nhà nghiên cứu công bố lỗ hổng chưa được vá kèm mã khai thác

Microsoft bị chỉ trích vì tranh cãi về công bố lỗ hổng

Microsoft đang bị chỉ trích sau khi cảnh báo rằng họ có thể theo đuổi hành động pháp lý và liên hệ cơ quan thực thi pháp luật đối với một nhà nghiên cứu bảo mật đã công khai một loạt lỗ hổng chưa được vá trong các sản phẩm của họ, kèm theo mã khai thác proof-of-concept.

Trong một bài đăng blog được công bố vào thứ Tư, công ty chỉ trích nhà nghiên cứu, người sử dụng bí danh “Nightmare Eclipse,” vì đã công bố chi tiết các lỗi mà họ nói ảnh hưởng đến các sản phẩm bao gồm Windows Defender và BitLocker. Microsoft cho rằng việc công bố này không mang tính "có trách nhiệm" vì các lỗi chưa được vá trước khi thông tin được công khai.

Phản ứng của công ty đã thổi bùng lại cuộc tranh luận kéo dài về cách các nhà nghiên cứu bảo mật nên xử lý lỗ hổng trong các nền tảng phần mềm lớn, đặc biệt khi các lỗi ảnh hưởng đến các công cụ được sử dụng rộng rãi từ một công ty có nguồn lực như Microsoft.

Microsoft cho biết một số lỗ hổng do Nightmare Eclipse công bố sau đó đã bị hacker sử dụng trong các cuộc tấn công thực tế, theo công ty và cơ quan an ninh mạng Hoa Kỳ CISA. Họ cũng cho biết Đơn vị Chống Tội phạm Kỹ thuật số sẽ tiếp tục theo đuổi các vụ việc đối với những người mà họ cho là góp phần vào hoạt động tội phạm, bao gồm thông qua phối hợp với cơ quan thực thi pháp luật.

Nightmare Eclipse, trong một loạt bài đăng blog vài tuần gần đây, khẳng định đã liên hệ với Microsoft và nói rằng công ty đã đối xử tệ với họ. Nhà nghiên cứu cáo buộc Microsoft đã thu hồi quyền truy cập vào tài khoản Microsoft Security Response Center của họ, cổng mà các nhà nghiên cứu dùng để báo cáo lỗ hổng. Điều đó, theo nhà nghiên cứu, đã để công bố công khai trở thành lựa chọn duy nhất.

Các lỗi sau đó được đăng trên các kho mã nguồn mở, nơi chúng đi kèm với mã nhằm minh họa cách chúng có thể bị khai thác. Một khi được công bố khi chưa có bản vá, các vấn đề trở thành zero-day — những lỗ hổng mà nhà sản xuất phần mềm chưa biết đến vào thời điểm công bố hoặc bị khai thác.

Lời chỉ trích của Microsoft xoay quanh lập luận rằng nhà nghiên cứu nên báo cáo các lỗi một cách riêng tư trước. Góc nhìn của nhà nghiên cứu, theo các bài đăng blog, là cách Microsoft xử lý tình huống đã không để họ có con đường thực sự có ý nghĩa để công bố có trách nhiệm. Tranh chấp hiện đặt quy trình phản ứng an ninh của Microsoft dưới kính hiển vi, đồng thời đặt ra những câu hỏi mới về ranh giới giữa nghiên cứu vì lợi ích công cộng và hành vi có thể hỗ trợ kẻ tấn công.

Nguồn:

Duyệt web riêng tư với Doppler VPN — không lưu nhật ký, kết nối một chạm.

An ninh mạngnews

Chia sẻ bài viết

Bảo vệ việc duyệt web của bạn. Doppler VPN không cần đăng ký và không lưu bất kỳ nhật ký nào. Dùng thử miễn phí 3 ngày.

Dùng thử miễn phí 3 ngày