原文:Disgruntled 0-day hunter 'humiliated' by Microsoft pledges 'bone shattering drop' as Redmond calls cops
六个 0day,三个正在积极利用,7 月 14 日还会有更多吗?
微软与 Nightmare Eclipse(又名 Chaotic Eclipse)之间的争斗已经达到了白热化的程度。Nightmare Eclipse(又名 Chaotic Eclipse)是一位心怀不满的 bug 猎人,对 Windows 有着深入的了解,对微软的怨恨甚至更深。该研究人员迄今已发布了 6 个 Windows 零日漏洞,并承诺在 7 月 14 日发布“令人震惊”的补丁。
微软最终对安全研究人员及其武器化的 Windows 缺陷做出了回应,发布了一篇关于(不)协调漏洞披露的博文,内容涉及现已公开的漏洞:RedSun、UnDefend、BlueHammer、YellowKey、GreenPlasma 和 MiniPlasma。雷德蒙德表示,这些事件在公开之前均未通过其官方渠道进行报道。
在 Nightmare 在现已被禁止的 GitHub(归微软所有)和 GitLab 帐户上发布了每个可用的概念验证漏洞代码后不久,攻击者就开始攻击这六个中的三个 - BlueHammer、RedSun 和 UnDefend。
注册广告
YellowKey、GreenPlasma 和 MiniPlasma 仍然没有修复,微软引用了一个有效的 POC,认为 YellowKey“更有可能被利用”,即 CVE-2026-45585。
注册广告
微软在周三的博客中写道:“我们仍然坚决反对这些行动,以及任何在适当协调之外可能损害我们的客户和数字生态系统的披露行为,”然后似乎威胁要对 Nightmare 采取法律行动:
“将未修补漏洞的概念验证代码交给不良行为者的未经协调的披露是不合理的,并且会产生现实后果。我们全公司的安全团队孜孜不倦地追踪威胁行为者,他们寻找类似的弱点来攻击微软和我们的客户。我们的数字犯罪部门将继续对这些行为者以及那些助长其犯罪活动的行为者提起诉讼,并根据需要与世界各地的执法部门进行协调。”
微软没有回应 The Register 的问题,包括