12.000 USD cho ai tìm ra lỗ hổng trong Vista và IE, phancuongmaster

Thứ Sáu, ngày 12/01/2007, 09:29
Bản in | Gửi bài này đi


12.000 USD cho ai tìm ra lỗ hổng trong Vista và IE 7
VeriSign iDefense Labs sẽ trả một khoản tiền thưởng trị giá 12.000 USD cho ai phát hiện ra lỗ hổng nghiêm trọng cũng như cung cấp đoạn mã khai thác lỗ hổng này trong 2 sản phẩm mới của Microsoft là hệ điều hành Windows Vista và trình duyệt Internet Explorer.


Phần thưởng này là một phần trong chương trình thưởng có tên Vulnerability Contributor Program của VeriSign iDefense Labs.

Frederick Doyle, Giám đốc nghiên cứu của iDefense giải thích về giải thưởng này: "Cả Vista và IE 7 đều là những sản phẩm mới và một trong những câu hỏi hàng đầu mà khách hàng của chúng tôi đặt ra là họ có nên sử dụng các ứng dụng này và thực sự chúng có an toàn hay không?".

iDefense sẽ trả cho 6 người đầu tiên một khoản tiền là 8.000 USD nếu như phát hiện ra những lỗ hổng mới - những lỗ hổng được Microsoft gán mác "nghiêm trọng" có thể bị lợi dụng để thực thi các đoạn mã từ xa. Bên cạnh đó, một khoản tiền 2.000 USD cho tới 4.000 USD sẽ được trả cho người có đoạn mã khai thác hiệu quả lỗ hổng mà họ tìm thấy. Những lỗ hổng trong phiên bản beta hoặc những sản phẩm khác sẽ không được tham gia chương trình "hấp dẫn" này. VeriSign sẽ nhận thông báo về lỗ hổng trong Vista và Internet Explorer đến hết ngày 31/3.

Tuy nhiên, ông Doyle không dự đoán rằng họ sẽ nhận được bao nhiêu lỗ hổng. Ông nói: "Bây giờ là quá sớm để có thể xác định chúng tôi sẽ nhận được bao nhiêu lỗ hổng. Cũng phải công nhận rằng Windows Vista là hệ điều hành an toàn nhất mà Microsoft đã tạo ra cho đến thời điểm này".

iDefense là một trong 2 công ty bảo mật có chính sách trả tiền cho các nhà nghiên cứu nếu họ tìm ra lỗ hổng. Công ty còn lại chính là TippingPoint của 3com. iDefense khẳng định rằng những chương trình như thế này vẫn luôn có những thành công nhất định: 1 trong 4 lỗ hổng được Microsoft vá trong lần phát hành bản tin cập nhật hồi tháng 6/2006 là do một người tham gia chương trình này phát hiện ra. Tuy nhiên, cả hai công ty này đều phải nhận những sự chỉ trích từ phía các nhà nghiên cứu đối thủ, họ cho rằng giải thưởng này sẽ khuyến khích hacker "đào sâu" ra nhiều lỗi hơn.

Ông Doyle trả lời về vấn đề này: "Tôi không cho rằng chúng tôi ngừng thực hiện chương trình trao giải này thì các nhà nghiên cứu cũng ngừng hoạt động tìm kiếm của họ. Đây chỉ là cách chúng tôi mong muốn đem đến cho khách hàng của mình một lợi thế cạnh tranh hơn mà thôi". Cả iDefense và TippingPoint đều cho rằng chương trình "săn lỗ hổng" của họ là một cách tốt để họ có thể cung cấp cho khách hàng của mình những giải pháp giá trị.

Trong khi đó, gã khổng lồ phần mềm Microsoft lại "im lặng" một cách khá bất ngờ. Người phát ngôn của Microsoft cho biết: "Chúng tôi không phản đối những chương trình được thực hiện một cách có trách nhiệm và không đặt người sử dụng trước rủi ro. Microsoft không muốn can thiệp vào hoạt động của những nhà nghiên cứu khác, tuy nhiên, hãng cam kết rằng sẽ hợp tác chặt chẽ hơn với những nhà nghiên cứu này về những vấn đề đáng quan tâm. Microsoft mong rằng đó sẽ là những hoạt động phơi bày có trách nhiệm nhằm bảo vệ tất cả người sử dụng".

Đối với Microsoft, cụm từ "phơi bày có trách nhiệm" - một cụm từ thường được gã khổng lồ này dùng khi nói về các chuyên gia nghiên cứu độc lập - có nghĩa là lỗ hổng sẽ không được công bố trước công chúng cho đến khi Microsoft có thể đưa ra một bản vá lỗi cho lỗ hổng này.

Nếu bạn muốn biết nhiều thông tin hơn về chương trình "săn lỗ hổng" trong Vista và IE 7, bạn có thể click vào đây.