5月31日消息,微软近期因对零日漏洞的处理方式,在安全社区中引发了一场不小的争议。事件起因于一位名为Nightmare Eclipse的用户公开与微软决裂,直接发布了概念验证漏洞利用代码。根据其发帖内容,此人很可能是一名心怀不满的前员工。然而,真正让安全研究员Kevin Beaumont在意的,并非该用户的激烈行动,而是微软随后采取的一系列应对措施。

微软暗示计划对Nightmare Eclipse提起刑事诉讼,理由是他未遵循“适当的协调程序”就披露漏洞。与此同时,微软还封禁了该用户在GitHub、GitLab以及微软安全响应中心的账户。对此,Beaumont一针见血地指出:“账户都被封了,以后还怎么‘负责任地’报告漏洞呢?”
更令Beaumont担忧的是,微软自身也曾做出过类似行为——他们曾招募过一些公开发布过零日漏洞利用程序的人,其中甚至有人有犯罪记录。此外,微软还会从漏洞利用程序贩子那里直接购买漏洞利用代码。这种“只许州官放火,不许百姓点灯”的做法,无疑严重削弱了微软在漏洞披露问题上的公信力。
