Ba lỗ hổng nghiêm trọng mà Microsoft vừa vá hôm thứ ba trong ActiveX Control của Office đã được thông báo tới công ty từ hai năm trước. Đây là thông tin do chính hãng an ninh đã từng cảnh báo Microsoft về các lỗ hổng này đưa ra.   

Cả ba lỗ hổng đều do Zero Day Initiative (ZDI) – một chương trình phát hiện lỗi của TippingPoint Technologies -- phát hiện. Chúng nằm trong bộ 4 lỗ hổng mà Microsoft vừa vá hôm thứ ba trong Office Web Components (OWC), một nhóm các ActiveX Control cho phép người dùng đưa văn bản Word, Excel và PowerPoint lên web, rồi xem bằng Internet Explorer (IE).

Một trong những lỗ hổng mà TippingPoin phát hiện trong ActiveX Control của IE được dùng để hiển thị bảng tính Excel đã bị hacker khai thác suốt hơn 1 tháng để tấn công người dùng từ các website bị xâm nhập. 

Và theo TippingPoint thì họ đã thông báo về 2 trong số các lỗ hổng này cho Microsoft hồi tháng 3 năm 2007, còn lỗ hổng thứ ba vào tháng 12 năm 2007. 

·Security Update 2009-004 fixes BIND vulnerability

·Twitter attack relatively small potatoes

·Microsoft knew of critical Office ActiveX bug in 07

·Hiring hackers (part 1) BLOG

“Nói chung, Microsoft là một trong những công ty sửa lỗi nhanh nhất trong số những công ty chúng tôi từng hợp tác,” Cody Pierce, chuyên gia an ninh của TippingPoint cho biết, “Nhưng khó mà cho rằng lần sửa lỗi này lại được đảm bảo.

Tuy Microsoft đã biết về hai lỗ hổng suốt 29 tháng, và lỗ hổng thứ ba trong 20 tháng, nhưng Pierce vẫn không dám chỉ trích Microsoft vì không khắc phục lỗ hổng này sớm hơn. “Những lỗ hổng như vậy rất phức tạp và nhiều khi mất hàng năm trời để làm bản vá sao cho không phá hỏng ứng dụng,” ông nói. 

Pierce cũng khẳng định rằng lỗ hổng lớn nhất trong cả 3 chính là lỗ hổng đã bị hacker khai thác suốt 1 tháng. TippingPoint đã thông báo cho Microsoft về lỗ hổng này vào ngày 19 tháng 3 năm 2007.   

Ngày 13/7/2009, một ngày trước ngày cập nhật bản vá của tháng đó, Microsoft đã cảnh báo người dùng về các cuộc tấn công nhằm vào người dùng IE. Cùng ngày đó, hãng an ninh Sophos của Anh cho biết họ đã phát hiện nhiều website, trong đó có những website có tên miền Trung Quốc, đang cung cấp bản khai thác lỗi ActiveX trong toolkit.

Don Retallack, nhà phân tích của Directions, cũng không chỉ trích Microsoft vì đã mất quá nhiều thời gian để khắc phục lỗ hổng.   

Ông nói: “Nhóm an ninh của Microsoft rất chuyên nghiệp, thông minh và thận trọng.” Microsoft phải mất thời gian phát triển bản vá, thử đi thử lại trên nhiều sản phẩm họ hỗ trợ, và việc đưa ra bản vá tốt nhất còn quan trọng hơn là đưa ra bản vá nhanh nhất.  

Nhưng Retallack cũng cho rằng ngay cả nếu Microsoft không có đủ nguồn nhân lực, họ vẫn phải ưu tiên cho việc vá lỗi đầu tiên. “Với các lỗ hổng được báo cáo riêng như vậy, họ có thể dành thời gian để đảm bảo hoàn thiện bản vá,” ông nói, “vì thế chúng không được ưu tiên bằng các lỗ hổng đã được công bố và đang bị khai thác.” 

Do không có vụ tấn công nào phát tán mạnh mẽ nên Retallack vẫn lượng thứ cho Microsoft. “Họ có thể hành động thật nhanh khi lỗ hổng đang bị khai thác mạnh,” Retallack nói, ông nhấn mạnh rằng Microsoft đã vá lỗ hổng trong vòng chỉ một tháng sau khi lên tiếng cảnh báo người dùng. 

Mới đây Microsoft đã bị chỉ trích vì phản ứng chậm chạp trước các vấn đề an ninh. Ví dụ tháng trước họ xác nhận rằng một lỗ hổng trong ActiveX Control đã được thông báo từ năm 2008. Cũng như lỗ hổng OWC, lỗ hổng này đã bị hacker khai thác trước khi được Microsoft khắc phục. 

Khi đó, nhà phân tích an ninh John Pescatore của Gartner đã chỉ trích Microsoft: “Đây là một sự lề mề không thể chấp nhận được,” Pescatore nói. “Với một công ty tầm cỡ như Microsoft không thể mất tới 1 năm.”   

Hôm nay, Microsoft cũng lên tiếng bảo vệ cho nhịp độ làm việc của mình.

"Mỗi lỗ hổng đều khác nhau và có những thách thức riêng,” phát ngôn viên Christopher Budd của Microsoft Security Research Center (MSRC) cho biết. “Việc đem đến bản cập nhật chất lượng, kịp thời cho khách hàng là một trong những điều quan trọng nhất đối với Microsoft. Công ty sẽ chỉ phát hành bản vá sau khi đã phát triển và kiểm tra kỹ càng.”