Microsoft chỉ trích Google là thiếu trách nhiệm trong việc công bố lỗ hổng bảo mật

Nhóm bảo mật Windows tỏ ra không hài lòng trước cách hàng xử của Google trong một năm qua. Đặc biệt cuối tháng 10 năm ngoái, gã khổng lồ tìm kiếm đã tiết lộ công khai lỗ hổng bảo mật cực kỳ nghiêm trọng trong hệ thống win32k chỉ sau 10 ngày thông báo cho “đối thủ”.

Năm ngoái Google đã làm phật ý Microsoft với việc thông báo lỗi trong hệ thống win32k

Tất nhiên, hãng đã nhanh chóng tung ra bản vá lỗi để bảo vệ người dùng Chrome, trong khi Windows vẫn dễ bị tổn thương. Microsoft bực bội ra mặt trước hành động của Google và coi đó là việc làm thiếu trách nhiệm. Sự oán giận đó vẫn còn “âm ỉ” cho tới tận bây giờ.

Tháng trước, gã khổng lồ Redmond phát hiện lỗ hổng bảo mật trên Chrome và có dịp thể hiện bản thân là công ty có trách nhiệm về những công bố của mình. Trong bài viết trên trang blog, nhóm an ninh Windows đã chỉ ra vấn đề thực thi mã trong Chrome và chỉ trích cách tiếp cận của Google về các bản vá bảo mật.

“Chúng tôi đã tiết lộ một cách có trách nhiệm về lỗi bảo mật mà chúng tôi phát hiện ra về lỗ hổng thực thi mã lệnh từ xa (REC) cho Google vào ngày 14 tháng 9 năm 2017”, Jordan Rabet, thành viên của nhóm nghiên cứu bảo mật Microsoft viết. Google đã vá lỗi đó trong vòng một tuần trên phiên bản Chrome beta, nhưng bản chính thức “vẫn dễ bị tổn thương trong gần một tháng”.

Microsoft nhận 7.500 USD tiền thưởng nhờ phát hiện lỗi trên C

Điều này thường không phải là vấn đề với hầu hết các bản vá lỗi phần mềm, nhưng Microsoft chỉ trích cách tiếp cận của Google trong việc tạo mã nguồn bản sửa lỗi trên Github trước khi fix lỗi trên kênh chính thức. Điều này sẽ tạo cơ hội cho tin tặc tìm hiểu về lỗ hổng trong một tháng đó. Rabet gọi đó là “mấu chốt vấn đề vì tin tặc biết rõ về các lỗ hổng trước khi bản vá được tung ra”.

Ngoài ra, bài đăng của Microsoft còn nhắc nhở toàn ngành công nghiệp phải trách nhiệm hơn trong việc tiết lộ các lỗ hổng bảo mật. Hãng nhân cơ hội này nhấn mạnh bản thân đã rất “riêng tư” khi thông báo lỗi trên Chrome và khẳng định sẽ tiếp tục làm như vậy, đồng thời kêu gọi mọi người cũng hành động tương tự.

Google bị chỉ trích về quy trình thông báo lỗ hổng khi cho phép các kỹ sư công khai lỗi sau 7 ngày thông báo cho nhà phát triển sản phẩm hoặc dịch vụ. Hãng tỏ ra năng nổ trong việc “vạch lá tìm sâu” trên các sản phẩm của Microsoft và nhiều khi tiết lộ nó trước cả khi có bản vá chính thức. Điều này là lý do khiến Microsoft tức giận.