Microsoft cảnh báo lỗ hổng bảo mật Java của Oracle

Trích dẫn nghiên cứu từ một báo cáo gần đây, Tim Rains, một giám đốc của nhóm Trustworthy Computing (Điện toán đáng tin cậy) của công ty, cho biết có tới một nửa toàn bộ các cuộc tấn công bị phát hiện và bị chặn bởi phần mềm bảo mật của Microsoft trong một khoảng thời gian 12 tháng là khai thác Java.Tổng cộng, Microsoft đã ngăn chặn hơn 27 triệu khai thác Java từ giữa năm 2010 đến giữa 2011.Hầu hết các khai thác này nhắm mục tiêu vào các bản vá lỗ hổng dài hạn, Rains cho biết.

Các cuộc tấn công Java thường bị chặn trong nửa đầu năm 2011 đã khai thác một lỗi được công bố hồi tháng 3/2010 và được vá bởi Oracle trong cùng tháng đó. Đứng thứ hai trên bảng xếp hạng phổ biến kéo dài 12 tháng là một khai thác của một lỗi được vá vào đầu tháng 12 năm 2008, gần ba năm trước đây.Các lỗi khác đã bị ngăn chặn trong tháng 11 năm 2009 và tháng 3 năm 2010.

Những bình luận của Rains theo sau một thông điệp tương tự từ Microsoft trong năm 2010, khi công ty cho biết một "làn sóng chưa từng có" của các cuộc tấn công khai thác các sai sót của Java.Những phát hiện của Microsoft không hề gây ngạc nhiên cho các nhà nghiên cứu an ninh bên ngoài."Hầu hết các máy tính sử dụng Windows không được cập nhật Java", ông Wolfgang Kandek, giám đốc công nghệ của Qualys, một nhà phát triển California về nguy cơ bảo mật và phần mềm và các dịch vụ quản lý tuân thủ, cho biết.

Qualys thường xuyên khai thác dữ liệu từ các máy của khách hàng mà họ bảo vệ để thực hành cập nhật. Và đối với Java, những thực hành cập nhật rất thảm hại."Các cập nhật Java tụt hậu một cách nghiêm trọng", Kandek cho biết. "84% các máy mà chúng tôi quan sát không có cài đặt cập nhật Java tháng 6 năm 2011, 81% không có cập nhật tháng 2 năm 2011 và 60% không có cập nhật tháng 3 năm 2010."

Qualys không không có đủ chức năng quét dữ liệu để đo tốc độ vá lỗi cho bản cập nhật tháng mười năm 2011, bản cập nhật mới nhất của Oracle, nhưng Kandek ước tính rằng 90% các máy tính sử dụng Windows đã không triển khai những bản sửa lỗi.

Các doanh nghiệp thường vá lỗ hổng trong Windows của Microsoft nhanh hơn nhiều, Kandek nói, trích dẫn một "half-life" - có nghĩa là một nửa toàn bộ các máy đều có lỗ hổng – của 29 ngày để phát hiện lỗi của Windows. Các bản vá lỗi quan trọng thậm chí còn được triển khai nhanh hơn: "half-life" của chúng là khoảng 15 ngày.

Sự phổ biến rộng rãi của Java là một trong những lời giải thích cho số lượng lớn các cuộc tấn công khai thác lỗi của nó, Andrew Storms, Giám đốc điều hành bảo mật của nCircle Security, cho biết trong một cuộc phỏng vấn.

Một số khách hàng doanh nghiệp của Qualys là một trong những người đang chạy các phiên bản lỗi thời, Kandek cho biết. Những lập trình viên tội phạm đang liên tục bổ sung thêm các khai thác Java mới, Kandek tiếp tục, để bổ sung cho việc khai thác các lỗi cũ-nhưng-vẫn-hiệu quả. Những bộ dụng cụ này được trang bị với các khai thác lỗi của bản vá Oracle trong tháng Mười.

Qualys cung cấp cho khách hàng của mình với một sơ đồ của các khai thác, có thể giúp nhận biết các lỗ hổng được thừa hưởng trong bộ dụng cụ như vậy. "Nếu họ không thể vá mỗi lỗ hổng, điều này sẽ mang lại cho họ một danh sách các lỗ hổng mà chúng ta biết là đang được sử dụng ngay bây giờ," ông Kandek cho biết.

Minh Phượng