Còn nhiều lý do hơn để tránh Internet Explorer

Posted by Michael Horowitz

Theo: http://news.cnet.com/8301-13554_3-9984277-33.html?hhTest=1

Bài được đưa lên Internet ngày: 06/07/2008

Lời người dịch: Chúng ta đã được biết về những chuyện om sòm liên quan tới OOXML của Microsoft Office 2007, tới Windows Vista, còn nay là chuyện về an ninh của Internet Explorer các phiên bản 6 và 7, thậm chí cả bản 8 còn chưa ra đời. Bạn thấy đấy, toàn những thứ mà bạn tin tưởng khi mà các thông tin về nó chưa tới được tai bạn phải không?

Một vài câu chuyện gần đây đã nhấn mạnh một việc về bảo vệ máy tính – nếu bạn lướt web trên một máy tính Windows, thì bạn sẽ an toàn hơn bằng việc sử dụng Firefox so với Internet Explorer.

Vào ngày 26/06 trên ZDNet Ryan Naraine đã viết về một lỗi mới trên Internet Explorer (Lỗi ngày số không (0) thường tới với Internet Explorer – Xem đường liên kết bên dưới) mà với nó Microsoft không có bản vá lỗi. Ít ngày sau, ông đã viết tài liệu về làm cách nào những người xấu đang khai thác lỗi này (Khai thác mã được tung ra cho tính có thể bị tổn thương của IE 7 không được vá lỗi). Câu chuyện đó bắt đầu với “Một ngày khác, một lỗ hổng khác làm ảnh hưởng các phiên bản được vá lỗi đầy đủ của trình duyệt web Internet Explorer của Microsoft”. Chúng ta đã từng theo xuống con đường này trước đó.

Nguồn gốc của các câu chuyện về lỗi đặc biệt này là lưu ý về tính có thể bị tổn thương VU#516627 của US-CERT mà nó nói lỗi này sẽ ảnh hưởng tới IE 6, IE 7 và ngay cả bản beta của phiên bản sắp ra của IE 8, trifecta.

Nhìn lại đằng sau, IE 6 chịu ảnh hưởng từ một lỗi mới khác mà vẫn chưa được vá. Gregg Keizer đã viết về điều này vào ngày 26/06 tại ComputerWorld (Các nhà nghiên cứu cảnh báo IE 6 về lỗi ngày số không).

Bạn có theo dõi các thông tin về kỹ thuật không? Bạn có nhận thức được những lỗi không được vá mới này trong Internet Explorer không? Liệu chúng ta có phải đã quen với những lỗi của IE mà chúng là các thông tin trần trụi không?

A few recent stories highlighted a bedrock of Defensive Computing - if you surf the web on a Windows computer, you are safer using Firefox as opposed to Internet Explorer.

On June 26th at ZDNet Ryan Naraine wrote about a new bug in Internet Explorer (Zero-day flaw haunts Internet Explorer) for which Microsoft has no fix/patch. A few days later, he documented how the bad guys were exploiting this bug (Exploit code released for unpatched IE 7 vulnerability). That story starts with "Another day, another gaping hole affecting fully patched versions of Microsoft's Internet Explorer browser." We've been down this road before.

The original source for stories about this particular bug is US-CERT Vulnerability Note VU#516627 which says the bug affects IE6, IE7 and even the beta edition of the upcoming IE8. A trifecta.

Bring up the rear, IE6 suffers f-rom another new bug for which there isn't yet a fix. Gregg Keizer wrote about this on June 26th at ComputerWorld (Researchers warn of IE6 zero-day bug).

Do you follow tech news? Were you aware of these new unpatched bugs in Internet Explorer? Have we gotten so used to IE bugs that they're barely news?

Những phiên bản cũ của các phần mềm

Những lỗi không được vá trong phiên bản mới nhất của phần mềm là đủ xấu. Vì thế, có vấn đề ngay cả không sử dụng phiên bản mới nhất và lớn nhất.

Một khảo sát gần đây, được mô tả bởi Robert Vamosi ở CNET thấy “...637 triệu người sử dụng Web đang lướt với các trình duyệt Internet quá hạn...” Điều đó chỉ nói về sự lo ngại tại thời điểm khi mà việc xem đơn giản một trang web có thể gây lây nhiễm cho một máy tính.

Nhiều người sử dụng máy tính không phải dân kỹ thuật và hệ thống tự động cập nhật phần mềm cần thiết phải làm cho họ xem xét trong việc chọn những ngầm định, các thông điệp báo lỗi và các thông điệp báo tình trạng.

Firefox làm một công việc xuất sắc về tự nâng cấp bản thân nó, Internet Explorer thì không. Khảo sát thấy nhiều người sử dụng IE chạy các phiên bản cũ của trình duyệt này, hơn các trình duyệt khác. Ví dụ, Firefox ngầm định để mở một cửa sổ nói cho người sử dụng rằng có một phiên bản mới, những gì có trong phiên bản mới, và hỏi quyền để cài đặt nó. Internet Explorer không thân thiện được như vậy.

Không chỉ hệ thống tự động nâng cấp của Firefox được thiết kế tốt, nó còn mang lại lợi ích chỉ từ việc phải nâng cấp Firefox. Internet Explorer được cập nhật như một phần của Windows Up-date và Microsoft Up-date và vì thế sống trong một hệ thống lớn hơn phức tạp hơn, đáng kinh sợ hơn. Microsoft sử dụng hệ thống này để cập nhật Windows, IE, khung công việc .NET, Office, đó là phần mềm bảo vệ chống độc hại và ai mà biết được còn những gì nữa.

Một trong nhiều vấn đề với môi trường cập nhật của Microsoft là lịch trình. Firefox không có lịch trình, Internet Explorer thì có. Hoặc Microsoft thì có. Các công ty lớn cần một lịch trình. Microsoft đã tranh luận nhiều lần rằng việc có một lịch trình cho việc đưa ra các vá lỗi là một việc tốt.

Có thể đó là một việc tốt cho các công ty lớn mà Microsoft cung cấp cho – nhưng nó không là việc tốt cho bạn và tôi. Kết quả rõ ràng là Microsoft đưa ra các vá lỗi cho Internet Explorer một lần trong một tháng. Mozilla đưa ra các vá lỗi cho Firefox khi chúng là sẵn sàng.

Bạn ưa thích cách nào hơn?

Old Versions of Software

Unpatched bugs in the latest version of software are bad enough. Then, there's the problem of not even using the latest and greatest version.

A recent survey, described by Robert Vamosi at CNET found "...637 million Web users are surfing with outdated Internet browsers..." That's just asking for trouble at a time when simply viewing a web page can infect a computer.

Many computer users are non-techies and the self-updating system for software needs to take them into consideration in choosing defaults, error messages and status messages.

Firefox does an excellent job of updating itself, Internet Explorer does not. The survey found many IE users running old versions of the browser, moreso than other browsers. For example, Firefox defaults to opening up a window telling the user that there is a new version, what the new version is, and asking for permission to install it. Internet Explorer doesn't come close to being that user-friendly.

Not only is the Firefox self-updating system well designed, it benefits f-rom only having to up-date Firefox. Internet Explorer is udpated as part of Windows Up-date and Microsoft Up-date and thus lives in a bigger more complicated, more intimidating system. Microsoft uses this system to up-date Windows, IE, the .NET frameworks, Office, it's Defender anti-malware software and who knows what else.

One of the many problems with the Microsoft up-date environment is the schedule. Firefox has no schedule, Internet Explorer does. Or rather, Microsoft does. Big companies need a schedule. Microsoft has argued many times that having a schedule for releasing bug fixes is a good thing.

Perhaps it is a good thing for the big companies that Microsoft caters to - but it's not a good thing for you and me. The net result is that Microsoft releases Internet Explorer bug fixes once a month. Mozilla releases Firefox bug fixes when they're ready.

Which do you prefer?

Cập nhật, ngày 06/07/2008: Thứ ba ngày 08/07 là ngày Thứ ba Vá lỗi và theo Ryan Naraine tại ZDNet sẽ không có vá lỗi nào cho Internet Explorer, mà điều đó gây thiệt hại từ vài lỗi đã được biết. Trích dẫn: “Chúng bao gồm lỗi Safari sang IE được thông báo bởi Aviv Raff, lỗi ngày số không xuyên các miền ảnh hưởng tới IE 6, lỗi viết xuyên các site được thông báo bởi Roel Schouwenberg, bảng in của vấn đề liên kết, và sai sót bị tấn công iFrame nghiêm trọng được bàn thảo bởi Sirdarckat. Thực sự là không tha thứ được cho sự trậm trễ này trong việc vá lỗi sai sót vận hành mã của Safari sang IE. Nó đã được thông báo cho Microsoft từ năm 2006!”.

Cập nhật, ngày 07/07/2008: Vâng còn một lỗi khác liên quan tới IE đã được thông báo ngày hôm nay – xem Microsoft tìm kiếm các cuộc tấn công ActiveX tập trung vào tính năng của Access. Firefox không có ActiveX, một trong nhiều lý do để nó an toàn hơn. Nhưng, có thể điểm cần nói tới nhất của tất cả là trích dẫn này: “Cuối cùng, Microsoft có thể cung cấp một cập nhật an ninh cho tính có thể bị tổn thương... ”. Có thể cung cấp ư? Điều đó nói lên điều gì về Microsoft quan tâm nhiều tới đâu về sự an toàn trực tuyến của bạn đây?

Cập nhật ngày 07/07/2008: Một nhà bình luận đã làm một điểm tốt, người sử dụng Windows 2000 có sự truy cập tới phiên bản mới nhất của Firefox, những bị hạn chế bởi Microsoft đối với phiên bản IE 6. Và việc nói về các hệ điều hành, bất kỳ ai cần sử dụng cả Macs và Windows có thể thấy một bản Firefox tiện lợi cho ở nhà.

Up-date. July 6, 2008: Tuesday July 8th is Patch Tuesday and according to Ryan Naraine at ZDNet there will be no fixes to Internet Explorer, which currently suffers f-rom several known bugs. Quoting:

"These include the Safari-to-IE bug reported by Aviv Raff, the cross-domain zero-day affecting IE 6, the cross-site scripting bug reported by Roel Schouwenberg, the print table of links issue, and the serious iFrame hijacking flaw discussed by Sirdarckat. There really is no excuse for the delay in patching the Safari-to-IE code execution flaw. It was reported to Microsoft since 2006!"

Up-date. July 7, 2008: Yet another IE related bug was reported today - Microsoft probing ActiveX attacks targeting Access feature. Firefox doesn't do ActiveX, one of many reasons it's safer. But, perhaps the most telling point of all is this quote "Eventually, Microsoft may provide a security up-date for the vulnerability...". May provide? What does that say about how much Microsoft cares about your online safety?

Up-date. July 7, 2008: A commenter made a good point, Windows 2000 users have access to the latest version of Firefox, but are restricted by Microsoft to IE version 6. And speaking of operating systems, anyone needing to use both Macs and Windows can find a comfortable home with Firefox.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com