Number of Flaws Patched by Microsoft Increased in Last 5 Years: Tripwire
By Eduard Kovacs on February 06, 2015
Bài được đưa lên Internet ngày: 06/02/2015
Lời người dịch: Phân tích của hãng an toàn thông tin Tripwire đối với các chỗ bị tổn thương trong các phần mềm của Microsoft đã chỉ ra rằng: “Microsoft đã bắt đầu đóng gói nhiều chỗ bị tổn thương hơn (các CVE) cho mỗi bản tin an toàn”. “Các CVE đại diện cho các chỗ bị tổn thương mà đã được phát hiện, và trong trường hợp của Microsoft (đối với các chỗ bị tổn thương được các bản tin và Bản vá ngày thứ Ba cung cấp), các chỗ bị tổn thương mà đã được sửa”, Lane Thames, kỹ sư phát triển phần mềm ở Tripwire, giải thích. “Vì thế, số lượng các CVE ngày một gia tăng (và các CVE cho từng bản tin) chỉ ra rằng Microsoft đang sửa nhiều hơn và nhiều hơn các khiếm khuyết/chỗ bị tổn thương theo từng đơn vị thời gian”. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.
Tripwire đã phân tích sự tiến hóa của các bản cập nhật an toàn được Microsoft phát hành trong 5 năm qua. Hãng đã xác định rằng trong khi số lượng các bản tin an toàn đã giảm đi, thì số lượng các chỗ bị tổn thương được sửa với từng bản tin đã tăng lên.
“Các CVE đại diện cho các chỗ bị tổn thương mà đã được phát hiện, và trong trường hợp của Microsoft (đối với các chỗ bị tổn thương được các bản tin và Bản vá ngày thứ Ba cung cấp), các chỗ bị tổn thương mà đã được sửa”, Lane Thames, kỹ sư phát triển phần mềm ở Tripwire, giải thích. “Vì thế, số lượng các CVE ngày một gia tăng (và các CVE cho từng bản tin) chỉ ra rằng Microsoft đang sửa nhiều hơn và nhiều hơn các khiếm khuyết/chỗ bị tổn thương theo từng đơn vị thời gian”.
Sự gia tăng số lượng các lỗ hổng an toàn được sửa có thể là kết quả của kho mã gia tăng. Đối với các ứng dụng mà vẫn còn được Microsoft hỗ trợ, thì kho mã tiếp tục gia tăng, và khi số lượng các dòng mã tăng, thì toàn bộ tỷ lệ lỗi cũng tăng, Thames nói.
Số lượng các chỗ bị tổn thương có thể cũng gia tăng vì độ chín của phần mềm. Số lượng các nhà nghiên cứu về an toàn gia tăng với các công cụ tiên tiến trong kho vũ khí của họ và sự hiểu biết gia tăng về cách mà các giải pháp của Microsoft kế thừa mã từ giải pháp này tới giải pháp khác dẫn tới nhiều hơn các chỗ bị tổn thương được phát hiện ra.
Mặt khác, Tripwire cảnh báo rằng trong khi các tin tặc mũ trắng nhận diện được nhiều hơn chỗ bị tổn thương, thì có khả năng là điều y hệt áp dụng được cho các tin tặc mũ đen.
Trong vòng 5 năm qua, số lượng các bản tin sống còn được Microsoft phát hành đã giảm đi, đạt tới 28 trong năm 2014 - một kỷ lục thấp mới. Trong khi số lượng các bản tin sống còn đã giảm xuống, thì số lượng các bản tin của Internet Explorer đã tăng lên trong 5 năm qua, Tripwire nói.
Phân tích của hãng chỉ ra rằng gần một nửa các bản tin an toàn được phát hành trong năm 2014 đã đề cập tới các chỗ bị tổn thương mà có thể bị khai thác đối với sự thực thi mã từ ở xa. Như đối với các lỗi thực tế, hơn 3/4 các lỗi được vá vào năm ngoài có thể dẫn tới sự thực thi mã từ ở xa.
Microsoft dường như đã cắt công việc của nó ra khỏi năm nay. Cho tới nay, Google đã phát hiện tổng cổng 3
chỗ bị tổn thương trong Windows trước khi Microsoft có thể sửa được chúng. Hơn nữa, một nhà nghiên cứu đã đưa ra một sự chứng minh khái niệm cho một
chỗ bị tổn thương của Internet Explorer nghiêm trọng vào tuần trước. Người khổng lồ phần mềm nói hãng đang làm việc để giải quyết lỗi đó nhưng, theo nhà nghiên cứu này, hãng đã được thông báo về sự hiện diện của nó vào tháng 10.
Tripwire has analyzed the evolution of the security updates released over the past five years by Microsoft. The company determined that while the number of security bulletins has decreased, the number of vulnerabilities fixed with each bulletin has increased.
“CVEs represent vulnerabilities that have been discovered, and in Microsoft’s case (for the ones provided by the bulletins and Patch Tuesday), vulnerabilities that have been fixed,” explained Lane Thames, software development engineer at Tripwire. “So, the increasing number of CVEs (and CVEs per bulletin) shows that Microsoft is fixing more and more defects/vulnerabilities per unit time.”
The increase in the number of fixed security holes could be a result of code base growth. For applications that are still supported by Microsoft, the code base continues to grow, and as the number of lines of code increases, so does the overall defect rate, Thames said.
The number of vulnerabilities might also be increasing because of the software’s maturity. An increasing number of security researchers with advanced tools in their arsenal and a growing understanding of how Microsoft’s solutions inherit code from one another leads to more discovered vulnerabilities.
On the other hand, Tripwire warns that while white hat hackers identify more vulnerabilities, it’s likely that the same applies to black hats.
Over the past five years, the number of critical bulletins released by Microsoft has decreased, reaching 28 in 2014 -- a new record low. While the number of critical bulletins has decreased, the number of Internet Explorer bulletins has increased over the last five years, Tripwire said.
The company’s analysis shows that close to half of the security bulletins released in 2014 covered vulnerabilities that could be exploited for remote code execution. As for the actual flaws, over three quarters of the ones patched last year could lead to remote code execution. Microsoft seems to have its work cut out this year. So far, Google disclosed a total of three Windows vulnerabilities before Microsoft could fix them. Furthermore, a researcher released a proof-of-concept for a serious Internet Explorer vulnerability last week. The software giant says it’s working on addressing the bug but, according to the researcher, the company was informed of its existence in October. Dịch: Lê Trung Nghĩa