心怀不满的0 - day漏洞猎手被微软“羞辱”，扬言7月14日“重磅出击”

纷争升级漏洞猎手扬言“重磅出击”微软与Nightmare Eclipse又名Chaotic Eclipse之间的纷争愈演愈烈。这位心怀不满的漏洞猎手对Windows系统了如指掌同时对微软积怨已久。目前该研究员已公布了六个Windows零日漏洞并承诺在7月14日进行一次“重磅出击”。六个0 - day漏洞其中三个正被积极利用7月14日还会有更多微软回应漏洞公开情况微软终于在一篇关于非协调漏洞披露的博客文章中对这位安全研究员及其公开的Windows漏洞做出了回应。这些现已公开的漏洞包括[RedSun]、[UnDefend]、[BlueHammer]、[YellowKey]、GreenPlasma和MiniPlasma。微软表示在这些漏洞公开之前没有一个是通过其官方渠道报告的。Nightmare在已被封禁的GitHub微软旗下和GitLab账户上发布了每个漏洞的有效[概念验证PoC利用代码]后不久攻击者就开始利用其中三个漏洞——[BlueHammer、RedSun和UnDefend]。更多背景信息这里有一些相关的背景信息神秘的微软漏洞泄露者不断公布零日漏洞微软的大规模补丁星期二漏洞如雨点般袭来欢迎来到漏洞大爆发时代供应商利用AI寻找漏洞补丁如兔子般激增无论有无赏金计划微软承诺支付更多漏洞奖励。部分漏洞未修复微软表态YellowKey、GreenPlasma和MiniPlasma这三个漏洞仍未修复微软认为YellowKey即CVE - 2026 - 45585“更有可能被利用”并指出已有有效的PoC代码。微软在周三的博客中写道“我们坚决反对这些行为任何未经适当协调的披露都可能损害我们的客户和数字生态系统。”随后微软似乎对Nightmare发出了法律威胁。微软未回应提问猎手不满微软未回应《The Register》的提问包括其法律团队是否计划起诉Nightmare、这位零日漏洞研究员是否为现任或前任员工以及微软是否停用了Nightmare的微软安全响应中心MSRC账户导致该漏洞猎手无法向微软披露漏洞。Nightmare在最新的反微软声明中称微软确实这么做了。“当我主动要求与你们沟通时你们拒绝了我羞辱我还当着众人的面侮辱我。”他们在周六的博客中写道“你们在CVE - 2026 - 45585公告中公开诋毁我尽管你们删除了我用于向你们报告漏洞的微软账户而且我一分钱都没拿到却还像个傻瓜一样愉快地做着这些事。”7月14日威胁造成实际损害Nightmare还指出“微软仍对我有所限制”这使得他们无法在6月发布“相关文件”并警告称“记住7月14日那天我会让你们付出惨痛代价。”无论7月14日会发生什么Nightmare已经造成了混乱并对企业级系统造成了实际损害正如系统工程师Muhammad Qasim Shahzad在领英上所说“一个人在六周内造成的企业级损害比大多数高级持续性威胁APT组织一年造成的损害还要大。现在漏洞披露与被利用之间的时间间隔已从数天缩短至数小时。你们的补丁更新窗口正在迅速缩小。”专家看法微软处理欠佳零日计划Zero Day Initiative的首席漏洞猎手Dustin Childs曾在微软安全部门工作约七年在协调漏洞披露CVD流程的双方都有几十年的经验。他告诉《The Register》微软本可以更好地处理此事。他还想知道双方之间究竟发生了什么才导致了目前的局面。“CVD是一条双向道路”他说“供应商也有一定的责任。因此在没有展示任何沟通记录的情况下公开宣称此人违反了CVD似乎有些鲁莽。”Childs还补充说微软还应加强与客户的沟通告知他们“这些漏洞的实际风险以及如何进行自我防护”“目前似乎缺少这种明确的指导”。微软回应遭质疑Luta Security的创始人兼首席执行官[Katie Moussouris]曾不顾高管们“绝不向研究人员支付漏洞奖励”的承诺开创了微软的漏洞赏金计划。她表示微软对Nightmare的回应“传递了相互矛盾的信息”。“在回应一位声称既未得到补偿也未得到公开认可的研究人员时微软的声明却称其计划‘确保研究人员得到补偿并获得公开认可’这令人困惑。而且用词也没有起到缓和矛盾的作用。微软使用了过时的‘负责任披露’一词我几年前在微软时就已弃用该词因为它主观且带有评判性。”Moussouris告诉《The Register》。她补充说这个词在双方就如何最好地保护终端用户产生分歧时“阻碍了协调工作”。“在一篇讨论漏洞披露的文章中提及数字犯罪部门这让文章带有一种隐晦的威胁意味这似乎是有意为之。但文章结尾又表示欢迎各种披露历史的报告。除了当事双方没人能确切知道这位研究人员与微软之间到底发生了什么。无论事实如何很难想象微软为何不试图缓和局势至少可以避免对其他研究人员产生寒蝉效应。”微软局面“一团糟”安全专家Kevin Beaumont在其关于微软与Nightmare Eclipse纷争的博客中称这是“微软自己造成的一团糟”。Beaumont也曾在微软工作他指出微软此前曾雇佣了一位名为SandboxEscaper的黑客当时她发布了微软产品的零日PoC利用代码而如今微软的博客却将这种行为描述为犯罪。“如果微软试图将不遵守往往随意的‘负责任披露’框架的行为定为犯罪那在法庭上可要好好辩护了因为微软内部此前的决策和相关事实会在这个过程中浮出水面。”Beaumont说。需要明确的是Beaumont和《The Register》采访的研究人员都不支持Nightmare的零日漏洞披露行为。Childs称Nightmare “7月14日”的声明“令人担忧”Moussouris则表示这个日期加上“煽动性的语言……无助于企业理解技术风险”。“大卫与歌利亚”的较量Moussouris还补充说结合此前的博客文章来看Nightmare最新的声明“描绘了一个认为自己被逼到绝境的人的形象。这听起来像是一个觉得所有合法渠道都被关闭的人GitHub账户被删除、报酬被扣留、荣誉被剥夺在微软切断其协调能力后还被公开指责违反CVD。这位研究人员的不满是严重且具体的”。Moussouris表示“归根结底这些漏洞是微软的。他们编写了代码也承担着对客户的风险。通常曾与供应商合作过的研究人员只有在觉得别无选择时才会采取极端行动。他们所拥有的权力与供应商相比极不相称。我们不愿看到这种‘大卫与歌利亚’式的较量出现尤其是当协调谈判失败时受损的是用户。”虽然这是协调披露出现问题的一个极端例子也许是最极端的但并非个例。多年来研究人员一直在抱怨CVD特别是微软的漏洞披露习惯。“虽然有些公司有所改进但微软却没有。”Childs说“甚至可以说他们被认为很难合作尤其是当你的漏洞评级为‘中’而非‘严重’时。有研究人员告诉我他们因为觉得与微软合作太难已经不再关注微软的产品了。”此外随着人工智能辅助的漏洞报告成为常态漏洞数量激增研究人员与漏洞赏金计划之间的分歧可能会越来越多。“作为一个行业我们需要冷静下来记住这其中涉及到真实的人糟糕的互动可能会给客户带来实际风险。”Childs说“当披露出现问题时现实影响往往被忽视。”其他相关文章这里有一些其他相关文章据报道尽管企业需求为零亚马逊云科技AWS仍计划将埃隆·马斯克的Grok整合到Bedrock中一名攻击者发布了14个模仿流行的OpenSearch和Elasticsearch库的恶意npm包随后被微软一网打尽人工智能与数据主权在PostgreSQL中的应用解决数据中心能源危机的方案美国移民海关执法局ICE以2500万美元的合同采购生物识别扫描仪密切关注人们的眼睛欧盟数字主权计划的小失误可能是该项目的最佳机遇开源Git服务Gogs中的严重远程代码执行RCE漏洞仍未修复利用模块已流出。研究人员在3月报告了该漏洞但维护人员此后未作回应。热门文章以下是一些热门文章谷歌近期在人工智能“内卷”上越陷越深Anthropic将向公众发布Mythos系列模型心怀不满的0 - day漏洞猎手被微软“羞辱”扬言“重磅出击”微软报警林纳斯·托瓦兹Linus Torvalds将“更加严格”地对待“无意义的拉取请求”其中一些来自人工智能“巨齿鲨”在5500多个GitHub仓库投毒。活动信息这里有一些活动信息克服数据主权中的权衡问题数据主权对你的网络意味着什么哪些权衡是不可避免的了解更多从提示到攻击大语言模型LLM如何改变API攻击现代应用程序由API驱动、相互关联且权限往往过高使其成为人工智能辅助攻击的理想目标构建未来为Kubernetes解锁企业数据服务加入我们探索如何消除基础设施孤岛建立标准化的企业级云原生平台利用行为人工智能安全捕获微软365遗漏的高级攻击微软365是企业通信的核心其原生安全功能可过滤已知和嘈杂的威胁虚拟网络恢复模拟体验真实的勒索软件攻击场景测试你的响应能力并与其他IT和安全专家合作智胜网络犯罪分子虚拟网络恢复模拟勒索软件攻击并未放缓我们也不会。Druva的热门活动“逃离勒索软件”现已完全虚拟化大规模部署智能体AI从试点到生产加入我们了解如何通过大规模推动人工智能的采用来实现真正的投资回报率。AI相关文章有一些AI相关文章据报道尽管企业需求为零亚马逊云科技AWS仍计划将埃隆·马斯克的Grok整合到Bedrock中一名攻击者发布了14个模仿流行的OpenSearch和Elasticsearch库的恶意npm包随后被微软一网打尽Okta为杀死流氓人工智能智能体制定规则首席执行官Todd McKinnon表示包括ServiceNow在内的客户希望有一个关闭开关美国移民海关执法局ICE以2500万美元的合同采购生物识别扫描仪密切关注人们的眼睛开源Git服务Gogs中的严重远程代码执行RCE漏洞仍未修复利用模块已流出。研究人员在3月报告了该漏洞但维护人员此后未作回应。信息安全相关文章以下是信息安全相关文章美国移民海关执法局ICE以2500万美元的合同采购生物识别扫描仪密切关注人们的眼睛开源Git服务Gogs中的严重远程代码执行RCE漏洞仍未修复利用模块已流出。研究人员在3月报告了该漏洞但维护人员此后未作回应QEMU考虑放宽对人工智能贡献的禁令红帽工程师认为风险平衡已发生变化但核心代码仍禁止使用人工智能23andMe因“令人不安”的DNA数据泄露事件面临诉讼加利福尼亚州总检察长称这家基因公司在2023年的大规模数据泄露事件中淡化了影响并向攻击者支付了赎金加州大学洛杉矶分校UCLA寻求与甲骨文进行诉讼前和解据悉此次讨论涉及延迟的SaaS转型项目。自由和开源软件FOSS相关文章自由和开源软件FOSS相关文章有据报道尽管企业需求为零亚马逊云科技AWS仍计划将埃隆·马斯克的Grok整合到Bedrock中一名攻击者发布了14个模仿流行的OpenSearch和Elasticsearch库的恶意npm包随后被微软一网打尽Okta为杀死流氓人工智能智能体制定规则首席执行官Todd McKinnon表示包括ServiceNow在内的客户希望有一个关闭开关美国移民海关执法局ICE以2500万美元的合同采购生物识别扫描仪密切关注人们的眼睛开源Git服务Gogs中的严重远程代码执行RCE漏洞仍未修复利用模块已流出。研究人员在3月报告了该漏洞但维护人员此后未作回应QEMU考虑放宽对人工智能贡献的禁令红帽工程师认为风险平衡已发生变化但核心代码仍禁止使用人工智能。特色文章特色文章包括欧洲打造主权云以摆脱美国控制却忘了处理器问题没人相信入侵Canvas的“罪犯和卑鄙小人”真的删除了窃取的学生数据欧洲想摆脱美国科技的控制但首先得找到出路GNOME或许会主导Ubuntu Resolute Raccoon但X.org尚未出局OpenClaw的容器版NanoClaw登场开源软件注册表资金不足无法实施基本安全措施在Linux环境中运行Windows应用程序Linux的中年危机Tux引领变革的机遇AMD让投资者左右为难人工智能布局过多或过少智能体AI如何给现代内存层级带来压力。关于我们这里是关于我们的信息联系我们广告合作了解我们订阅时事通讯。我们的网站我们的网站有The Next PlatformDevClassBlocks and FilesSituation Publishing。隐私政策隐私政策相关内容有Cookie政策隐私政策使用条款不共享我的个人信息您的同意选项。文章存档这里有27年的文章存档。