● news.bsdnet.hu

A Microsoft és egy "Nightmare Eclipse" néven publikáló biztonsági kutató között vita alakult ki, miután a kutató több, korábban javítatlan Microsoft-sérülékenységet hozott nyilvánosságra proof-of-concept kóddal együtt. A Microsoft szerint a RedSun , UnDefend , BlueHammer , YellowKey , GreenPlasma és MiniPlasma néven hivatkozott hibák részleteit nem osztották meg vele előzetesen, és nem az általa preferált koordinált módon ( Coordinated Vulnerability Disclosure ) hozta nyilvánosságra a kutató, ami szükségtelen kockázatot jelentett az ügyfelek számára. A hibák többek közt a Windows Defenderhez és a BitLockerhez kapcsolódnak. A kutató saját blogján azt állítja, hogy korábban kapcsolatban volt a Microsofttal, de a cég rosszul kezelte az ügyet, többek közt az MSRC-fiókjához való hozzáférését is elvesztette. A hibákhoz kapcsolódó PoC-k részben GitHub -on és GitLab -en jelentek meg, az érintett fiókokat később letiltották. Az ügy súlyát növeli, hogy a Huntress áprilisi elemzése szerint BlueHammer, RedSun és UnDefend jellegű aktivitást valós incidens során is láttak. Az adott incidensben ugyanakkor ezek az eszközök nem tűntek sikeresnek. Az eset a koordinált sérülékenység-bejelentés és a full disclosure közötti régi vitát hozta újra elő, ezúttal Microsoft-termékeket érintő, exploit kóddal publikált hibák kapcsán. A Nightmare Eclipse körüli legújabb vita nyomán számos kutató osztotta meg rossz tapasztalatait a Microsofthoz történő hibabejelentésekkel kapcsolatban: Chat, I don't want to be that guy, but I think Microsoft has really pissed off security researchers and we're approaching the tipping point.This Eclipse guy has really rocked the boat for Microsoft. pic.twitter.com/y7wOvB2UYh — vx-underground (@vxunderground) May 28, 2026