一名安全研究员与微软就漏洞披露问题产生的纷争正在升级。该研究员已经公开了六个 Windows 零日漏洞,并声称将发布更多。微软谴责这种不协调的披露行为,并指出其中三个漏洞已被攻击者迅速利用。多位业内专家批评微软的应对方式,认为其措辞带有威胁性且沟通不当,这场失控的事件已经对企业和用户的安全构成了实际风险。
升级的零日漏洞风波
一名自称 Nightmare Eclipse 的安全研究员已公开发布了六个 Windows 零日漏洞,并扬言将在 7月14日 发布更具破坏性的内容。微软回应称,这些漏洞在公开前均未通过其官方渠道报告。
- 已遭利用的漏洞: RedSun、UnDefend、BlueHammer。在研究员公布可行的攻击代码后,攻击者很快就开始利用它们。
- 尚未修复的漏洞: YellowKey、GreenPlasma、MiniPlasma。微软认为 YellowKey (CVE-2026-45585) 被利用的可能性更高。
系统工程师 Muhammad Qasim Shahzad 评论道:“一个人在六周内造成的企业级损害,比大多数高级持续性威胁(APT)组织一年造成的还要多。披露和武器化之间的时间差现在以小时计算,而不是天。”
沟通破裂与互相指责
双方都指责对方破坏了沟通。微软在其博客中表示,将采取法律行动,这种行为被外界解读为一种威胁。
微软写道:“不协调的披露行为将未修补漏洞的攻击代码交到坏人手中,这是不正当的,并会带来现实世界的后果。我们的数字犯罪部门将继续对这些行为者以及那些助长其犯罪活动的人提起诉讼。”
然而,研究员 Nightmare Eclipse 声称,是微软首先切断了沟通渠道。他表示,微软删除了他用来报告漏洞的账户,并在公开场合羞辱和诽谤他,使他无法进行正常的协调披露。
行业专家的批评
多位安全专家,包括曾在微软工作过的人士,认为微软在此次事件中的处理方式不当。
- 缺乏透明度: Zero Day Initiative 的 Dustin Childs 指出,协调漏洞披露(CVD)是 “双向的”,微软在没有展示任何沟通记录的情况下公开指责研究员,显得过于强硬。
- 威胁性言论: Luta Security 创始人 Katie Moussouris 认为,微软的回应言辞带有威胁性,并未试图缓和局势。提及“数字犯罪部门”尤其不妥,可能会对其他希望报告漏洞的研究员产生 “寒蝉效应”。
- 自相矛盾: 安全研究员 Kevin Beaumont 称此事件是微软 “自找的烂摊子”。他指出,微软过去曾雇佣过公开零日漏洞的黑客,而现在却将这种行为描述为犯罪,前后做法不一。
Katie Moussouris 补充说:“最终,这些漏洞是微软的。他们编写了代码,他们对客户面临的风险负有责任。研究员之所以采取极端行动,通常是因为他们觉得自己别无选择。这是一种我们不愿看到的‘大卫与歌利亚’式的权力不对等动态。”
更广泛的影响
这场纷争暴露了漏洞披露生态中更深层次的问题。专家指出,与微软合作可能非常困难,尤其是在处理非“严重”级别的漏洞时。一些研究员甚至因此完全停止研究微软的产品。
随着人工智能辅助工具的普及,漏洞报告的数量预计将激增,类似研究员与企业之间的分歧可能会变得更加普遍。这起事件提醒整个行业,当沟通失败时,最终承担风险的是普通用户。