• Thứ Hai, 18/08/2014 10:37 (GMT+7)

    Microsoft ngưng vá lỗi IE, người dùng ít nhiều bị ảnh hưởng

    Huy Thắng
    Theo giới phân tích, các phiên bản trình duyệt Internet Explorer (IE) cũ hơn của Microsoft chứa ít lỗi hơn các phiên bản mới như IE11.

    Quyết định của Microsoft về việc ngưng vá lỗi các phiên bản trình duyệt Internet Explorer (IE) cũ trong vòng 17 tháng nữa có thể không phải là một màn trình diễn được tán thưởng như nhiều người nghĩ, theo phân tích của trang công nghệ Computerworld.

    Cách đây một tuần, hãng phần mềm Microsoft đã đột ngột tuyên bố rằng sẽ cắt giảm hàng loạt phiên bản trình duyệt IE, khách hàng vẫn có thể dùng các phiên bản cũ hơn của trình duyệt IE cho đến ngày 12/1/2016. Sau thời hạn đó, hãng sẽ chỉ hỗ trợ phiên bản IE9 trên Windows Vista, IE10 trên Windows Server 2012 cũng như IE11 trên Windows 7 và Windows 8.1. IE7 và IE8 sẽ hoàn toàn không được hỗ trợ, trong khi IE9 và IE10 cũng sẽ không còn trên danh sách hỗ trợ cho người dùng Windows 7. Các trình duyệt này vẫn tiếp tục còn sử dụng được nhưng Microsoft sẽ ngưng hỗ trợ kỹ thuật và không phát hành phiên bản cập nhật bảo mật cho các phiên bản bị loại.

    Các phiên bản IE mới hơn chứa ít lỗi hơn các phiên bản mới như IE11.
    Vì số các lỗ hổng nghiêm trọng mà Microsoft đã vá lỗi trong trình duyệt rất nhiều – lên đến 111 lỗ hổng trong vòng 3 tháng qua – nên việc dùng một phiên bản không được hỗ trợ sẽ cực kỳ nguy hiểm.

    Trái ngược với ý kiến trên, một số người dùng cho rằng, dù nguy hiểm nhưng dùng một phiên bản IE lỗi thời vẫn thực sự an toàn hơn là dùng phiên bản mới mà không được thường xuyên vá lỗi. Trong 3 tháng qua, Microsoft đã phát hành 3 phiên bản cập nhật bảo mật quan trọng - MS14-035 vào tháng 6, MS14-037 vào tháng 7 và MS14-051 vào tháng 8, gồm lần lượt các bản vá lỗi riêng biệt 60, 25 và 26.

    Nhưng trong khi phiên bản mới nhất là IE11 chứa đến 88 trong số 111 lỗ hổng, chiếm tỷ lệ 79% tổng số lỗ hổng, thì các phiên bản cũ hơn lại ít có lỗi cần được khắc phục hơn. Phiên bản cực kỳ cũ IE7, được phát hành vào năm 2006 trước khi Windows Vista ra đời, chỉ có 31 trong số 111 lỗi, chiếm 28% của tổng số lỗi. IE8, vốn là phiên bản Internet Explorer được sử dụng rộng rãi nhất trong tháng rồi, chứa 44 lỗ hổng, chiếm 40% tổng số lỗi đã vá trong 3 tháng.

    Thật vậy, số lượng lỗ hổng thay đổi theo một hướng rõ ràng. Phiên bản IE càng mới, càng có nhiều lỗi phải vá hơn. Sự khác biệt về tỷ lệ lỗi được vá giảm dần từ mới đến cũ, và điều này luôn đúng dù các phiên bản được phát hành cách nhau 2 hay nhiều năm hơn – như trong trường hợp của IE7 và IE8, hay IE8 và IE9 – hay chỉ một năm, như trường hợp của IE9 và IE10, IE10 và IE11.

    Có nhiều lý do có thể dùng để giải thích hiện tượng này, nhưng lý do có vẻ hợp lý nhất là vì các phiên bản cũ hơn có tuổi đời lâu hơn – như trường hợp của IE7 và IE8 lần lượt được phát hành cách đây 8 năm và hơn 5 năm – nên đã được cả các nhà nghiên cứu bên ngoài và Microsoft nghiên cứu lâu hơn nhiều. Thời gian nghiên cứu thăm dò lâu như thế đã dẫn đến kết quả là có nhiều bản vá lỗi hơn.

    Các lý do khác có thể là vì các nhà nghiên cứu lỗi thường thích tìm lỗi trong các phần mềm mới nhất, chứ không phải cũ nhất; và ít ra trong trường hợp của IE7, một mục tiêu quá nhỏ để cả giới tội phạm lẫn hacker mũ trắng phải bỏ phí thời gian. Thị phần người dùng của IE7 chỉ đạt 0,6% vào tháng 7/2014, chỉ chiếm 1% số những người dùng một phiên bản nào đó của Internet Explorer. Thị phần người dùng trình duyệt là số tính đại thể tỷ lệ người dùng máy tính trên thế giới dùng một trình duyệt nào đó.

    Tỷ lệ các bản vá lỗi cho các phiên bản IE khác nhau của Microsoft.
    Dĩ nhiên tất cả chỉ cần một lỗ hổng là đủ làm hỏng một trình duyệt, hay nói rõ hơn là, có lẽ không có trình duyệt hiện đại nào, gồm cả IE, phải phụ thuộc vào các công nghệ chống malware dùng để phòng thủ buộc những kẻ phá hoại khai thác nhiều lỗ hổng bảo mật của nhiều loại lỗi để xâm nhập vào máy tính.

    Như vậy, một phiên bản IE11 thường xuyên được vá lỗi phải miễn nhiễm đối với hầu hết các tấn công nghiêm trọng nhất, gọi là "zero-day" (những lỗ hổng chưa được công bố hoặc chưa được khắc phục) vì không có bản vá nào khi lỗ hổng bảo mật xuất hiện. Trong khi đó, sau ngày 12/1/2016, IE8 về lý thuyết sẽ dễ bị tấn công vì không có lỗi nào của trình duyệt này sẽ được sửa chữa. Tuy nhiên, lúc đó IE8 sẽ được an toàn hơn bây giờ.

    Chỉ cần nhìn vào sự khác biệt về tỷ lệ dễ bị tấn công, với một phiên bản IE cũ hơn có tỷ lệ 12-14% ít lỗi phải vá hơn, và ngoại suy tỷ lệ này cho IE8, ta thấy sẽ có tỷ lệ lỗi là 26-28% vào tháng 1/2016. Giả sử rằng Microsoft đưa ra một phiên bản mới (IE12 chẳng hạn) vào mùa xuân năm tới khi hãng này phát hành "Threshold", tên mã cho phiên bản mà nhiều người nghĩ rằng sẽ được gọi là “Windows 9”, thì IE8 sẽ cũng có thể là một mục tiêu ít được chú ý hơn trong 17 tháng nữa.

    Số liệu từ hãng phân tích web Net Applications cho thấy thị phần người dùng của IE8 đã tăng trong 6 tháng qua. Nhưng quyết định ngưng hỗ trợ sắp tới của Microsoft sẽ hầu như chắc chắn đảo ngược khuynh hướng nói trên vì có một số người dùng Windows 7 đã quyết định từ bỏ trình duyệt đó.