Nhóm bảo mật Project Zero của Google có nhiệm vụ tìm kiếm các lỗ hổng trong sản phẩm của chính công ty mình và một số công ty khác nữa. Thông thường sau khi phát hiện một lỗ hổng bảo mật, Project Zero phải thông báo trực tiếp cho công ty đó và cho họ 90 ngày để giải quyết vấn đề, trước khi được phép công bố rộng rãi.
Vừa mới đây, Project Zero đã công bố một lỗ hổng bảo mật mới có tên “Medium Severity”. Lỗ hổng bảo mật này cho phép bất kỳ ai truy cập vào hệ thống nền tảng của Windows 10 S và thêm vào những đoạn mã tùy chỉnh.
Microsoft đã cố gắng yêu cầu Google gia hạn thời gian để có thể khắc phục sự cố trước khi lỗ hổng bảo mật này được công bố rộng rãi. Tuy nhiên Google đã không đồng ý với điều đó, và đã công bố ngay sau khi hết thời hạn 60 ngày như quy định.
Windows 10 S của Microsoft là một hệ điều hành đặc biệt, chỉ có thể chạy các ứng dụng được tải về từ Microsoft Store mà không thể chạy các phần mềm thông thường. Do đó, hệ điều hành này được đánh giá là khá an toàn.
Tuy nhiên nhóm Project Zero đã phát hiện một lỗ hổng khá nghiêm trọng, cho phép bẻ khóa hệ điều hành Windows 10 S. Rất may là để làm được điều này thì hệ thống cần phải được bật Device Guard, do đó chỉ ảnh hưởng chủ yếu tới Windows 10 S.
Bên cạnh đó, lỗ hổng bảo mật này không thể khai thác từ xa. Nếu hacker muốn tấn công, sẽ cần phải chạy một đoạn mã đầu trực tiếp trên máy tính. Do đó khả năng bị tấn công thông qua internet là không có.
Google đã báo cáo lỗ hổng bảo mật này cho Microsoft vào ngày 19 tháng 1. Nhưng gã khổng lồ phần mềm đã không thể khắc phục sự cố kịp thời hạn. Kết quả là Microsoft đã yêu cầu thêm 14 ngày nữa, để vá lỗ hổng trước khi Google công bố rộng rãi.
Tuy nhiên, Google đã từ chối lời đề nghị này và ngay lập tức công bố lỗ hổng bảo mật của Windows 10 S sau khi hết thời hạn 90 ngày. Tuần trước, Microsoft cũng yêu cầu gia hạn và hứa hẹn rằng bản sửa lỗi sẽ được ra mắt cùng bản cập nhật Redstone 4. Nhưng Google tiếp tục từ chối.
Theo GenK