微软零日漏洞披露风波‘噩梦蚀影’公开叫板近期微软在零日漏洞处理上陷入舆论漩涡。一个自称‘噩梦蚀影’Nightmare Eclipse的人公开与微软争执并发布概念验证的漏洞利用代码。有帖子暗示此人可能是心怀不满的前员工。微软强硬回应封禁账户并欲刑事诉讼微软对此反应强硬计划对‘噩梦蚀影’提起刑事诉讼理由是其披露漏洞未遵循‘适当的协调’流程。同时微软封禁了‘噩梦蚀影’在 GitHub、GitLab 和微软安全响应中心的账户。网络安全研究员凯文·博蒙特指出被封禁后很难再‘负责任地’报告未来的漏洞。微软内部决策遭质疑曾雇黑客、买代码让博蒙特困扰的是微软自身曾有诸多类似行为。微软聘请过公开发布零日漏洞利用代码的人其中部分人还有犯罪性黑客行为的定罪记录还从中间人那里购买过漏洞利用代码。编辑观点微软在漏洞处理上的双重标准令人质疑其安全管理的公正性和合理性行业需建立更透明、统一的漏洞披露规则。
微软处理零日漏洞引争议:封禁披露者,自身却曾雇黑客、买代码?
微软零日漏洞披露风波‘噩梦蚀影’公开叫板近期微软在零日漏洞处理上陷入舆论漩涡。一个自称‘噩梦蚀影’Nightmare Eclipse的人公开与微软争执并发布概念验证的漏洞利用代码。有帖子暗示此人可能是心怀不满的前员工。微软强硬回应封禁账户并欲刑事诉讼微软对此反应强硬计划对‘噩梦蚀影’提起刑事诉讼理由是其披露漏洞未遵循‘适当的协调’流程。同时微软封禁了‘噩梦蚀影’在 GitHub、GitLab 和微软安全响应中心的账户。网络安全研究员凯文·博蒙特指出被封禁后很难再‘负责任地’报告未来的漏洞。微软内部决策遭质疑曾雇黑客、买代码让博蒙特困扰的是微软自身曾有诸多类似行为。微软聘请过公开发布零日漏洞利用代码的人其中部分人还有犯罪性黑客行为的定罪记录还从中间人那里购买过漏洞利用代码。编辑观点微软在漏洞处理上的双重标准令人质疑其安全管理的公正性和合理性行业需建立更透明、统一的漏洞披露规则。
