Dù khả năng bảo mật đã được nâng cấp tốt hơn rất nhiều so với Windows XP nhưng Windows Vista vẫn chưa thể thoát “nạn” ActiveX. Công nghệ ứng dụng bổ sung trình duyệt web này hiện vẫn là một hiểm họa lớn đối với người dùng Windows.
An toàn hơn XP
Đó là kết luận được đưa ra trong bản báo cáo nghiên cứu được thực hiện định kỳ hai năm một lần bởi chính Microsoft. Số liệu thống kê đã cho thấy cơ hội lây nhiễm mã độc của Windows XP Service Pack 2 (SP2) cao gấp ba lần Windows Vista. Windows XP SP3 có khá hơn một chút nhưng vấn cao hơn Vista gấp tới hai lần.
Microsoft cho biết từ tính từ tháng 1 đến hết tháng 6/2008 trong 1.000 lần được vận hành thực hiện tác vụ quét diệt phần mềm độc hại công cụ bảo mật miễn phí Malicious Software Removal Tool (MSRT) của hãng này chỉ phát hiện có đúng 3 PC chạy Windows Vista SP1 bị lây nhiễm mã độc.
Trong cùng thời gian và mức độ vận hành MSRT phát hiện tới 10 PC chạy Windows XP SP2 và 8 PC chạy Windows XP SP3 bị nhiễm phần mềm độc hại.
“Những thành quả nghiên cứu bảo mật của chúng tôi đã mang lại kết quả khả quan. Đây là một điều thực sự rất đáng mừng nhưng không có nghĩa Microsoft đã hoàn toàn tránh được mọi vấn đề. Thách thức vẫn còn ở phía trước.”
Đó là khẳng định của ông George Stathakopoulos – Giám đốc phụ trách Bộ phận công nghệ và sản phẩm bảo mật của Microsoft – khi đề cập đến những nâng cấp bảo mật được đưa vào trong các sản phẩm phần mềm mới của hãng này – trong đó có Windows Vista.
Vấn nạn ActiveX
Bản báo cáo của Microsoft cũng chỉ rõ trong giai đoạn 6 tháng nói trên có tới hơn một nửa trong số Top 10 nguy cơ tấn công PC chạy Windows XP thông qua trình duyệt web đều bắt nguồn từ những lỗ hổng bảo mật nằm trong phần mềm của chính Microsoft. Trong khi đó đối với Windows Vista nguy cơ đa phần bắt nguồn từ lỗi trong những ActiveX Control được phát triển bởi một hãng thứ ba khác.
Cụ thể lỗi bảo mật ActiveX là nguyên nhân của tới 8 trong Top 10 nguy cơ tấn công Windows Vista thông qua trình duyệt web trong giai đoạn nửa đầu năm nay. Nguy cơ thứ 9 cũng bị tấn công thông qua ActiveX Control.
Cụ thể 2/8 nguy cơ nói trên là lỗi bảo mật ActiveX Control trong ứng dụng đa phương tiện RealPlayer của RealNetworks và QuickTime của Apple. Đây cũng là hai ứng dụng đã mắc rất nhiều lỗi bảo mật. Tính từ đầu năm đến nay Apple đã phải phát hành tới 5 bản cập nhật để bít tới 30 lỗi bảo mật trong QuickTime.
Kết quả nghiên cứu của Microsoft cũng trùng với những số liệu mà hãng bảo mật Symantec đã thu thập được trong giai đoạn nửa cuối năm 2007. Theo đó số lượng lỗi bảo mật ActiveX chiếm tới 79% tổng số lượng lỗi được phát hiện trong các công nghệ ứng dụng bổ sung (plug-in) cho trình duyệt web.
Ông Stathakopoulos khẳng định Microsoft rất khó có thể kiểm soát được công nghệ ActiveX. “Không chỉ Microsoft mà hầu như tất cả các hãng phát triển trình duyệt khác cũng đều phải cho phép và chấp nhận sự tồn tại của các ứng dụng bổ sung trình duyệt. Vấn đề ở đây phụ thuộc vào việc nhà phát triển mở cửa trình duyệt như thế nào và có cung cấp cho nhà phát triển những hướng dẫn cần thiết nhằm giúp họ phát triển các ActiveX Control an toàn hay không”.
Trong tổng số nạn nhân của các vụ tấn công thông qua lỗi liên quan đến ActiveX chỉ có 23% là người dùng trong khi đó số lượng người dùng Trung Quốc lại chiếm tới 47%. “Tôi cho rằng điều này bắt nguồn từ việc các nhà phát triển ActiveX của Trung Quốc chưa có được các quy định thực hiện bảo mật đầy đủ. Hơn nữa đây lại là một thị trường rất lớn,” ông Stathakopoulos nhận định.
Giải pháp gì?
Stathakopoulos cũng khẳng định việc ngăn chặn ActiveX trong trình duyệt Internet Explorer đã mang lại những kết quả rất tốt. Ví dụ mặc định IE7 không cho phép ActiveX được vận hành chừng nào người dùng chưa cho phép. IE8 dự kiến sẽ có thêm tính năng quản lý ActiveX tốt hơn – ví dụ tính năng hạn chế không cho phép sử dụng ActiveX đối với cả một tên miền nhất định.
Bên cạnh đó Microsoft cũng đang nỗ lực tìm giải pháp giúp các nhà phát triển áp dụng các quy trình tốt hơn giúp họ lập trình được những mã nguồn ActiveX an toàn hơn. Ví dụ tháng 9 vừa qua Microsoft đã khai trương chương trình SDL Pro Network nhằm giúp các đối tác áp dụng quy trình Microsoft Security Development Lifecycle vào quá trình phát triển ứng dụng.
Mặc dù đã áp dụng nhiều giải pháp nhưng hãng bảo mật Symantec trong một bản báo cáo hồi đầu năm nay vẫn khẳng định các sản phẩm của Microsoft vẫn chưa thể thoát được vấn nạn ActiveX.
Theo VnMedia
Bình luận