Theo Neowin, Microsoft xác nhận rằng lỗ hổng bảo mật được báo cáo vào tháng 3.2017 như là một phần trong chương trình Project Zero của Google - không chỉ tiết lộ lỗi trong phần mềm của các công ty khác mà còn trên chính bản thân sản phẩm Google - và đã được khắc phục vào tháng 6 vừa qua.
Lỗ hổng được tiết lộ sau khi Microsoft yêu cầu Google gia hạn thời hạn công bố vượt qua chuẩn 90 ngày. Tuy nhiên, Google hiện nay tuyên bố rằng vấn đề này dường như đã không được khắc phục, do đó lỗi đã được công bố trở lại. Trong phản ứng của mình, Microsoft cũng đã thừa nhận lỗ hổng chưa được khắc phục chính xác.
Được biết, lỗ hổng Google phát hiện cho phép bất cứ ai truy cập bộ nhớ nhân nt!NtNotifyChangeDirectoryFile trong hệ thống Windows. Phần nhân này cho phép mọi người dùng trong chế độ User có thể xem và truy cập khối nhớ Memory Pool, từ đó kẻ tấn công có thể đánh bại kỹ thuật chống khai thác lỗi và đọc các thành phần khác trong không gian địa chỉ nhân.
Theo Google, Microsoft đã thông báo rằng lỗ hổng này có thể được sao chép trên các máy tính chạy Windows 7 thông qua Windows 10. Dự kiến bản sửa lỗi này sẽ được phát hành thông qua bản vá lỗi Patch Tuesday vào tháng sau hoặc tháng 8. Ở thời điểm hiện tại, lỗ hổng được đánh dấu ở mức Medium, tức Trung bình.
Đây không phải là lần đầu tiên Google tiết lộ khiếm khuyết trong phần mềm của các công ty khác, đặc biệt là Microsoft. Vào tháng trước, Google đã khám phá ra lỗ hổng được đánh giá là “điên rồ” trong Windows, và vào tháng 11.2016, công ty chỉ rõ lỗ hổng có trong hệ điều hành của Microsoft chỉ sau 10 ngày kể từ khi Microsoft nhận thông báo lỗi, điều này nhanh chóng nhận những phản ứng dữ dội từ công ty sản xuất Windows.
Bình luận (0)