Hacker News 中文摘要

RSS订阅

微软零日漏洞争端升级,研究员威胁再曝新漏洞 -- Microsoft 0-day feud escalates as researcher threatens another exploit dump

原文链接 | HN讨论 | 2026-05-30 07:50:23

文章摘要

研究人员Nightmare Eclipse与微软的零日漏洞纠纷升级,该研究者已公开6个Windows漏洞,并威胁将在7月14日发布更多漏洞。微软回应称这些漏洞均未通过官方渠道报告,其中3个漏洞已被攻击者利用。

文章总结

微软与安全研究人员的零日漏洞纠纷升级

核心事件: - 化名"Nightmare Eclipse"的研究人员已公开6个Windows零日漏洞,并威胁将在7月14日发布更具破坏性的漏洞 - 微软通过官方博客回应,谴责这种未经协调的漏洞披露行为,暗示可能采取法律行动

争议焦点: 1. 研究人员指控: - 微软删除其漏洞报告账户 - 公开诋毁其声誉(以CVE-2026-45585为例) - 拒绝沟通并当众羞辱

  1. 微软立场:
    • 强调协调披露的重要性
    • 指责研究人员的行为危害客户安全
    • 数字犯罪部门可能介入调查

行业影响: - 已公开的6个漏洞中,BlueHammer、RedSun和UnDefend已被攻击者利用 - YellowKey等3个漏洞仍无补丁 - 系统工程师指出:单个研究人员造成的企业级破坏超过多数APT组织年度攻击

专家观点: 1. 协调披露机制问题: - 零日计划负责人Dustin Childs指出微软未展示完整沟通记录 - Luta Security创始人Katie Moussouris批评微软使用过时的"负责任披露"术语

  1. 历史对比:
    • 微软曾雇佣发布零日漏洞的SandboxEscaper,如今类似行为被定义为犯罪
    • 安全专家Kevin Beaumont称此为"微软自酿的灾难"

深层矛盾: - 研究人员与厂商权力不对等(大卫与歌利亚式对抗) - AI辅助漏洞发现将加剧类似纠纷 - 行业需要建立更完善的漏洞协调机制

现状评估: - 微软被普遍认为难以合作(特别是对非严重漏洞) - 协调失败最终损害终端用户安全 - 该事件成为漏洞披露机制失效的极端案例

(注:原文中重复的广告内容、部分技术细节和次要人物评论已精简,保留核心事实和关键专家观点)

评论总结

以下是评论内容的总结,保持观点平衡并突出关键引用:

支持研究人员的观点: 1. 批评微软处理漏洞的方式不当,认为其行为损害了安全研究生态 - "Microsoft is making all indications that it is behaving like a colossal dick" (评论1) - "Maybe Microsoft should spend less energy threatening researchers and more on not shipping the slop code" (评论9)

  1. 质疑漏洞赏金计划的公平性
    • "the exploit takes advantage of a backdoor that ms needs, to 'manage' your computer" (评论2)
    • "Microsoft not paying their bounty is also poor form" (评论17)

支持微软立场的观点: 1. 认为公开漏洞可能危害用户安全 - "any disclosure outside proper coordination that could harm our customers" (评论10) - "It's poor form to publish exploits like this" (评论17)

中立/技术性观点: 1. 讨论漏洞技术细节 - "can encryption key be extracted by inserting a rogue PCIe card..." (评论13) - "there are active forks, and active mitigations for redsun undefend" (评论2)

  1. 关于行业规范的讨论
    • "Responsible disclosure isn't a law, it's a norm" (评论9)
    • "NASA has shown there is a HUGE gap between what can be achieved..." (评论18)

情绪化表达: 1. 对微软的长期不满 - "like living with a schizophrenic gorilla" (评论12) - "Their reputation has been abysmal for decades" (评论7)

  1. 对研究者的同情
    • "I find it hard not to have a smidge of satisfaction for this guy" (评论8)

关键争议点集中在:漏洞披露规范、微软处理方式是否恰当、以及技术责任归属问题。多数评论倾向于批评微软,但也有声音指出完全公开漏洞可能带来的风险。