Google tiết lộ ra lỗi ngày số 0 thứ 3: giữ chân Microsoft trên lửa

Thứ hai - 19/01/2015 06:09

Google's third zero-day disclosure: Holding Microsoft's feet to the fire

By Woody Leonhard, Jan 16, 2015

Theo: http://www.infoworld.com/article/2871477/security/third-zero-day-disclosure-by-google-holding-mss-feet-too-close-to-the-fire.html

Bài được đưa lên Internet ngày: 16/01/2015

Các lỗi sống còn trong các phần mềm của Microsoft sau ngày 08/04/2014

Lời người dịch: Lại một lỗi ngày số 0 (Zero day flaw) nữa của Microsoft và nó còn chưa được vá dù đã hết hạn cho thời hạn chót 90 ngày mà Google đã thông báo cho Microsoft . “Xuất bản số 128 của Google, được phát hành ngày hôm qua, 15/01, tiết lộ một lỗi trong thủ tục CryptProtectMemory; nó còn chưa được vá. Microsoft đã được thông báo hôm 17/10”. Microsoft đề nghị được nới rộng cho tới Bản vá ngày thứ Ba tháng 02/2015. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.

Kỹ sư của Google có trách nhiệm về phát hiện mới nhất đã thắng nhiều giải thưởng của Microsoft cho việc tìm ra các lỗi về an toàn

Một ngày khác, một phát hiện lỗi ngày số 0 khác. Hôm qua Google đã xuất bản tiết lộ lỗ hổng an toàn thứ 3 của Windows gần đây chưa được vá.

Đây là cách mà chúng đã được xuất hiện:

Xuất bản số 118 của Google, được phát hành công khai ngày 29/12, có liên quan tới một lỗi trong Windows Application Compatibility Cache. Nó đã được vá hôm 13/01, trong MS15-001. Microsoft đã không được thông báo về lỗi đó trong ngày 30/09. Tôi không thể tìm ra bất kỳ bản ghi nào của Microsoft liên hệ với Google để yêu cầu rằng thông báo này bị từ chối.

Xuất bản số 123 của Google, được phát hành công khai hôm 11/01, liên quan tới một lỗ hổng an toàn trong User Profile Service. Cũng vậy, nó đã được vá hôm 13/01, trong MS15-003. Microsoft đã được thông báo hôm 13/10. Theo liệt kê của Google, Microsoft đã yêu cầu về một sự đình hoãn - cho tới tháng 2:

Thư (sic) ngày: 11/11/2014

> Microsoft đã khẳng định rằng họ có đích cung cấp các sửa lỗi cho các vấn đề đó vào tháng 02/2015. Họ đã yêu cầu liệu điều này có gây ra vấn đề với thời hạn chót 90 ngày hay không.

< Microsoft đã được thông báo rằng thời hạn chót 90 ngày được cố định cho tất cả các nhà bán hàng và các lớp lỗi và vì thế không thể được kéo dài. Hơn nữa họ đã được thông báo rằng thời hạn chót 90 ngày cho vấn đề này hết hạn vào ngày 11/01/2015.

Thư ngày: 11/12/2014

Microsoft đã khẳng định rằng họ biết trước phải cung cấp các bản sửa lỗi cho các vấn đề đó trong tháng 01/2015.

Đây là trigger 2 ngày mà dẫn tới câu trả lời kịch liệt từ nhiều người trong cộng đồng an toàn. Vì sao, nhiều người đã hỏi, Google không thể chờ 2 ngày cho bản sửa lỗi sẽ được phát hành? Các báo cáo của giới truyền thông hầu hết nhất trí quan sát sự việc Microsoft ban đầu đã hỏi về sự nới rộng thêm cho tới tháng 2.

Xuất bản số 128 của Google, được phát hành ngày hôm qua, 15/01, tiết lộ một lỗi trong thủ tục CryptProtectMemory; nó còn chưa được vá. Microsoft đã được thông báo hôm 17/10. Theo liệt kê của Google, Microsoft đã trả lời:

Thư ngày: 29/10/2014

< Microsoft khẳng định họ đã tái tạo vấn đề đó và nghĩ có thể tạo thành một sự vượt qua tính năng an toàn. Được thông báo cho họ rằng thời hạn chót hiện hành là 15/01.

> Microsoft đã thông báo cho chúng tôi rằng bản sửa lỗi đã được lên kế hoạch cho các bản vá tháng 1 nhưng đã được lùi lại vì các vấn đề về tính tương thích. Vì thế bản sửa lỗi bây giờ được kỳ vọng nằm trong các bản vá của tháng 2.

Tranh luận bùng nổ về việc liệu Google “Không trở thành xấu xí” có đang đốt nóng Microsoft trong phí tổn đôi bên của họ các khách hàng của họ hay không - liệu Microsoft hoặc Google (hãy chọn bên của bạn) đội mũ trắng trong cú đánh này. Tôi chắc chắn tin tưởng rằng Microsoft phải có trách nhiệm giải trình, nhưng tôi không bị thuyết phục rằng một thời hạn chót tuyệt đối 90 ngày làm việc vì ưu thế của bất kỳ ai.

Giải pháp tốt nhất cho sự bế tắc này là tôi đã thấy tới từ Ed Bott của ZDNet:

Một giải pháp rõ ràng có thể cho Google nhận thức được rằng cả Microsoft và Adobe đã tiêu chuẩn hóa vào ngày thứ Ba tuần thứ 2 mỗi tháng như là ngày của họ cho việc phát hành các bản vá và tinh chỉnh thời hạn chót để phù hợp với Bản vá ngày thứ Ba sau thời hạn chót 90 ngày trôi qua. Điều đó có thể là dễ dàng tầm thường để viết mã, và nó có thể không bó buộc ít hơn 90 ngày. Không may, nó có thể cũng yêu cầu sự cộng tác có ý nghĩa giữa Google và Microsoft, điều có nghĩa điều đó có thể sẽ không xảy ra bất kỳ lúc nào sớm.

Một chút về việc trinh thám đã mở ra cái tên của nhà nghiên cứu của Google mà đã tìm thấy 3 lỗ hổng an toàn đó. James Forshaw, cựu lãnh đạo nghiên cứu chỗ bị tổn thương ở Context Security ở Vương quốc Anh, bây giờ làm cho Dự án số 0 (Project Zero) của Google. Anh ta nổi tiếng về mạng lưới hội nghị, đã nói ở các hội nghị Mũ đen của Mỹ, Mũ đen của châu Âu, CanSecWest, và 29C3. Forshaw đã thắng cuộc thi Pwn2Own trong Java năm 2013.

Thậm chí nổi bật hơn, Forshaw đã thắng 9.400 USD giải thưởng Bounty Hunter (Thợ săn hào phóng) từ Microsoft trong năm 2013 vì phát hiện các lỗi trong IE11, và giải thưởng Bounty Hunter với 100.000 USD, cũng từ Microsoft, vì làm dịu một lỗi bỏ qua. Microsoft BlueHat blog của Per TechNet:

Sự đệ trình của James là chất lượng cao như vậy và đã phát họa vài phương án khác như phương án chúng ta đã muốn để thưởng cho anh ta đủ 100.000 USD... Chúc mừng và làm tốt! Không chỉ bạn đã làm nên lịch sử bằng việc nhận tổng số 109.400 USD từ các chương trình hào phóng, mà bạn cũng giúp chúng tôi làm cho các khách hàng của chúng tôi an toàn hơn từ toàn bộ các lớp tấn công. Nhân danh hơn 1 tỷ người trên thế giới - Cảm ơn bạn và con đường bạn đi!

Có thể thú vị để nghe từ Forshaw anh ta cảm thấy thế nào về chính sách mở ra trong 90 ngày bàn tay sắt của Google.

The Google engineer responsible for the latest revelation has won multiple Microsoft awards for finding security flaws

Another day, another zero-day revelation. Yesterday Google released its third recent disclosure of an unpatched Windows security hole.

Here's how they've appeared:

Google Issue 118, released to the public on Dec. 29, involves a flaw in the Windows Application Compatibility Cache. It was patched on Jan. 13, in MS15-001. Microsoft was notified of the flaw on Sept. 30. I can't find any record of Microsoft contacting Google to ask that this notification be withheld.

Google Issue 123, released to the public on Jan. 11, concerns a security hole in the User Profile Service. It, too, was patched on Jan. 13, in MS15-003. Microsoft was notified on Oct. 13. According to the Google listing, Microsoft asked for a reprieve -- until February:

Correspondance (sic) Date: 11 Nov 2014

> Microsoft confirmed that they are on target to provide fixes for these issues in February 2015. They asked if this would cause a problem with the 90 day deadline.

< Microsoft were informed that the 90 day deadline is fixed for all vendors and bug classes and so cannot be extended. Further they were informed that the 90 day deadline for this issue expires on the 11th Jan 2015.

Correspondance Date: 11 Dec 2014

> Microsoft confirmed that they anticipate to provide fixes for these issues in January 2015.

This is the two-day trigger that drew a vehement response from many in the security community. Why, many asked, couldn't Google wait two days for the fix to be released? The press reports almost universally overlook the fact that Microsoft originally asked for an extension until February.

Google Issue 128, released yesterday, Jan. 15, unveils a flaw in the CryptProtectMemory routine; it hasn't been patched as yet. Microsoft was notified on Oct. 17. According to the Google listing, Microsoft has responded:

Correspondance Date: 29 Oct 2014

< Microsoft confirm they've reproduced the issue and think it might constitute a security feature bypass. Further confirmation will be provided soon.

Correspondance Date: 14 Jan 2015

< Asked Microsoft for information on whether they were going to fix this issue and timescales of it. Notified them that the current deadline is the 15th January.

> Microsoft informed us that a fix was planned for the January patches but has to be pulled due to compatibility issues. Therefore the fix is now expected in the February patches.

The debate rages on as to whether "Don't be evil" Google is flaming Microsoft at their mutual customers' expense -- whether Microsoft or Google (choose your side) wears the white hat in this very public spat. I firmly believe that Microsoft has to be held accountable, but I'm not convinced that an absolute 90-day deadline works to anyone's advantage.

The best solution to the impasse that I've seen comes from ZDNet's Ed Bott:

One obvious solution would be for Google to acknowledge that both Microsoft and Adobe have standardized on the second Tuesday of each month as their date for delivering patches and adjust the deadline to correspond to the Patch Tuesday after the 90-day deadline expires. That would be trivially easy code to write, and it would be no less arbitrary than 90 days. Unfortunately, it would also require meaningful cooperation between Google and Microsoft, which means it's probably not going to happen anytime soon.

A little bit of sleuthing uncovered the name of the Google researcher who found the three security holes. James Forshaw, formerly head of vulnerability research at Context Security in the United Kingdom, now works for Google Project Zero. He's well-known on the conference circuit, having spoken at Blackhat US, Blackhat Europe, CanSecWest, and 29C3. Remarkably, Forshaw won the Pwn2Own competition in Java in 2013.

Even more remarkably, Forshaw won a $9,400 Bounty Hunter award from Microsoft in 2013 for discovering flaws in IE11, and a $100,000 Bounty Hunter award, also from Microsoft, for a mitigation bypass bug. Per TechNet's Microsoft BlueHat blog:

James' submission was of such high quality and outlined some other variants such that we wanted to award him the full $100,000 bounty… Congratulations and well done! You not only made history by receiving a total of $109,400 from our bounty programs, you're also helping us make our customers safer from entire classes of attack. On behalf of over a billion people worldwide -- Thank you and way to go!!

It would be interesting to hear from Forshaw how he feels about Google's iron-fisted 90-day disclosure policy.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com