Chán với sự keo kiệt của Microsoft – các nhà nghiên cứu bảo mật công khai luôn lỗ hổng Zero-day của Windows
Câu chuyện bắt đầu từ việc một nhà nghiên cứ bảo mật phát hiện ra một lỗ hổng zero-day mới trên Windows. Lỗ hổng này có thể giúp leo thang độc quyền nội bộ, giúp hacker chiếm quyền admin trên Windows 10, Windows 11 và Windows Server.
Abdelhamid Naceri là nhà nghiên cứu phát hiện ra lỗ hổng nói trên. Hiện nó được gán mã theo dõi CVE-2021-41379 và đã được Microsoft vá trong bản cập nhật Patch Tuesday tháng 11.
Tuy nhiên, không bao lâu sau, Naceri lại tìm ra cách để vượt qua bản vá của Microsoft khai sinh ra một lỗ hổng zero-day leo thang đặc quyền khác nguy hiểm hơn. Điều đáng nói là lần này Naceri không báo cáo cho Microsoft nữa mà công khai luôn phương thức khai thác lỗ hổng trên GitHub. Phương thức khai thác này có thể hoạt động trên tất cả các phiên bản Windows.
Tại sao Naceri không báo cáo lỗi cho Microsoft?
Theo chia sẻ của Naceri, anh không báo cáo lỗi cho Microsoft vì thất vọng với cách làm việc của họ. Đầu tiên, Microsoft đã giảm mức thưởng của chương trình săn lỗi nhận thưởng xuống quá thấp.
“Chương trình săn lỗi nhận thưởng của Microsoft biến thành bãi rác từ tháng 4/2020. Tôi sẽ không công khai phương thức khai thác nếu Microsoft không giảm mức tiền thưởng”, Naceri chia sẻ.
Thực tế, Naceri không đơn độc. Nhiều nhà nghiên cứu bảo mật đã tỏ ra thất vọng với cách làm việc của gã khổng lồ phần mềm.
“Theo chương trình săn lỗi nhận thưởng mới của Microsoft, một trong những lỗ hổng zero-day mà tôi phát hiện ra bị giảm giá trị từ 10.000 USD xuống chỉ còn 1.000”, nhà nghiên cứu đứng sau tài khoản MalwareTech chia sẻ.
Một nhà nghiên cứu khác cũng lên tiếng phản đối khi lỗ hổng thực thi mã từ xa Hyper-V có thể được khai thác bởi tài khoản khách mà chỉ nhận được 5.000 USD tiền thưởng.
Về lỗ hổng mới, Naceri khuyên mọi người nên chờ bản vá từ Microsoft. Naceri cảnh báo người dùng không nên tự sửa lỗ hổng bằng cách vá các lỗi nhị phân vì nó có thể phá vỡ trình cài đặt.
Lương Thuận – Tổng hợp từ 7Zone
ĐĂNG KÝ TƯ VẤN HỌC LẬP TRÌNH TẠI FUNiX
Bài liên quan
Bài liên quan
Vibe Coding Workflow: Từ Yêu Cầu Đến Code, Test Và Tài Liệu Với Sự Hỗ Trợ Của AI
Trong kỷ nguyên của trí tuệ nhân tạo (AI), thuật ngữ “Vibe Coding” đã nổi lên như một hiện tượng, thay đổi hoàn toàn cách chúng ta tiếp cận việc xây dựng phần mềm. Không còn đơn thuần là việc...
Vì sao biết dùng ChatGPT chưa đủ để làm việc với AI trong lập trình?
Sự bùng nổ của các mô hình ngôn ngữ lớn khiến nhiều người tin rằng chỉ cần dùng ChatGPT trong lập trình là đã có thể “làm việc với AI”. Thực tế, ChatGPT có thể hỗ trợ viết code, giải...
So sánh Cursor và GitHub Copilot: Nên dùng công cụ nào cho lập trình với AI?
Trong kỷ nguyên lập trình với AI, việc chọn lựa công cụ hỗ trợ (AI Code Editor/Extension) cũng quan trọng giống như việc chọn ngôn ngữ lập trình. Hai cái tên đang thống trị thị trường hiện nay là Cursor...
Vibe Coding Là Gì? Cách Lập Trình Viên Làm Việc Với AI Hiệu Quả Trong Kỷ Nguyên Mới
Trong giới lập trình năm 2026, có một thuật ngữ đang làm mưa làm gió: Vibe Coding. Nếu bạn từng thấy ai đó dựng xong một ứng dụng web chỉ trong một buổi chiều bằng cách “chat” với máy tính,...
AI đang thay đổi công việc lập trình viên như thế nào?
Trong vài năm trở lại đây, trí tuệ nhân tạo (AI) không còn là khái niệm mang tính nghiên cứu mà đã trở thành công cụ thực tế trong quy trình phát triển phần mềm. Câu hỏi đặt ra không...
AI Debug và AI Test: Lập trình viên nên tin AI đến mức nào?
Mục lục AI debug và AI test là gì? Vì sao AI được dùng cho debug và test? AI debug hoạt động như thế nào? AI test hỗ trợ kiểm thử ra sao? AI debug & AI test trong SDLC...
Cách dùng AI để đọc hiểu codebase nhanh hơn cho developer và QA
Mục lục AI đọc hiểu codebase là gì? Vì sao đọc hiểu codebase là bài toán khó? Vì sao AI giúp đọc code nhanh hơn? AI đọc và phân tích codebase như thế nào? AI đọc code cho developer AI...
Khóa học Vibe Coding: Xu hướng lập trình bắt buộc để không bị AI đào thải
Khi 60–70% lập trình viên trên thế giới đã sử dụng AI để hỗ trợ viết code và debug, câu hỏi đặt ra không phải là “Có nên dùng AI không?” mà là “Dùng AI thế nào để tối ưu...
Đăng ký nhận bản tin
×
×
Bình luận (0
)