Vô hiệu hóa 92% lỗ hổng của Windows

Vô hiệu hóa 92% lỗ hổng của Windows

Theo hãng bảo mật BeyondTrust, có thể hạn chế thiệt hại hoặc tránh

hoàn toàn những vụ tấn công vào lỗ hổng của Windows nếu không đăng

nhập bằng quyền quản trị.

Qua nghiên cứu tất cả các lỗ hổng của hệ điều hành Windows đã được phát

hiện trong năm 2008, hãng bảo mật BeyondTrust cho rằng 92% số lỗ hổng đó

hoàn toàn không ảnh hưởng đến người dùng hoặc chí ít thì cũng ít nguy hiểm

hơn rất nhiều nếu họ không đăng nhập vào máy tính bằng quyền quản trị

(administration).

John Moyer, CEO của hãng cho rằng: “Đây là một gợi ý tốt cho các doanh

nghiệp bởi rõ ràng là việc không đăng nhập bằng quyền quản trị sẽ khống

chế được đa số các vụ tấn công”. Cũng theo nghiên cứu của BeyondTrust,

69% trong tổng số 154 lỗ hổng mà Microsoft đã vá trong năm 2008 (tính cả

những lỗ hổng nghiêm trọng hay không nghiêm trọng) sẽ hoàn toàn không

ảnh hưởng đến hệ thống của người dùng bởi các vụ tấn công nhằm vào lỗ

hổng đó chỉ có thể thực hiện bằng quyền quản trị.

Nếu chỉ tính riêng những lỗ hổng của trình duyệt Internet và bộ phần mềm

soạn thảo văn bản Microsoft Office, có 89% số lỗ hổng cũ và 94% số lỗ hổng

mới sẽ trở nên vô hại đối với người dùng trước các cuộc tấn công khi máy

tính của họ không đăng nhập bằng quyền quản trị. “Chúng tôi cảm thấy khá

ngạc nhiên trước một tỷ lệ lớn như vậy”, Scott McCarley – Giám đốc

marketing của hãng này phát biểu.

Thêm vào đó, việc sử dụng quyền quản trị trên những phiên bản Windows lại

đang là một vấn đề gây tranh cãi bởi hồi tuần trước, một nhóm blogger đã

đăng lên web một đoạn mã và trình diễn thủ thuật tấn công vô hiệu hóa hoàn

toàn chức năng quản lý tài khoản người dùng (UAC) trên hệ điều hành đang

được thử nghiệm Windows 7 – một trong những tính năng bảo mật mà

Microsoft đã giới thiệu từ phiên bản Windows Vista hồi năm 2007.

“Đó chính là một ví dụ sinh động nhất cho thấy việc đăng nhập máy tính

bằng quyền quản trị nguy hiểm đến thế nào. Những hacker sẽ không thể làm

được gì kể cả khi họ đã xâm nhập được vào hệ thống nếu đó chỉ là một tài

khoản “khách””, Scott McCarley phát biểu.

Microsoft sau đó đã phủ nhận việc coi đó là một lỗ hổng của Windows 7.