Trang Twitter của Vupen đăng thông điệp (tweet) cho biết, họ muốn bán lỗ hổng zero-day đầu tiên đối với Windows8+IE10. Vupen là công ty Pháp chuyên tìm kiếm các lỗ hổng trong nhiều phần mềm được sử dụng rộng rãi của những công ty như Microsoft, Adobe, Apple và Oracle. Sau khi tìm thấy lỗ hổng, Vupen không chia sẻ chi tiết với nhà cung cấp phần mềm bị ảnh hưởng mà sẽ chỉ vá lỗi cho những cơ quan chính phủ/doanh nghiệp/… đang sử dụng phần mềm, chịu trả tiền cho họ, giúp các tổ chức này bảo vệ mình khỏi bị tin tặc tấn công.
 |
|
Nguồn ảnh: NewRiverComputing.com |
Vupen đã tìm thấy vấn đề mới xuất hiện trong hệ điều hành Windows 8 mới của Microsoft và trình duyệt Internet Explorer 10 (IE10) của hãng. Lỗ hổng này vẫn chưa được công ty khắc phục hoặc công bố công khai.
Phát hiện này của Vupen là một trong những vấn đề đầu tiên đối với Windows 8 và IE10, mặc dù nhiều lỗ hổng đã được tìm thấy trong các phần mềm của bên thứ chạy trên Windows 8.
Thông điệp trên Twitter của Vupen được viết hôm thứ Tư 31/10/2012, ngụ ý rằng lỗ hổng sẽ cho phép tin tặc vượt qua các công nghệ bảo mật có trong Windows 8, bao gồm Address Space Layout Randomization (ASLR), anti-Return Oriented Programming (anti-ROP) và Data Execution Prevention (DEP). Công ty cũng chỉ ra rằng, lỗ hổng không liên quan tới vấn đề của trình đa phương tiện Flash của Adobe System.
"Chắc chắn, nếu lỗi được xác nhận, thì điều này có thể là một đòn giáng vào Microsoft khi Windows 8 - nền tảng được họ quảng cáo là an toàn nhất - đã ‘dính’ lỗi ngay sau khi phát hành công khai", ông Andrew Storms, giám đốc các hoạt động bảo mật của nCircle nói.
Vậy lỗ hổng này đáng giá thế nào? Thật khó để nói. Vupen không công bố giá công khai. Nhưng nhà tư vấn Jody Melbourne của công ty HackLabs (có trụ sở tại Sydney, Úc) cho biết, "giá trị của lỗi này sẽ chỉ tăng theo thời gian nếu không có ai ngoài Vupen tìm ra nó".
