答案已發布32 來源
微軟跪低!安全研究員 Nightmare Eclipse 法律威脅風波全記錄
微軟喺 2026 年 6 月 2 日急轉彎,發聲明話「無意對進行或發布安全研究嘅個人採取行動」,直接推翻咗 5 月 27 日暗示會出動數碼犯罪調查組搞研究員嘅講法 [29][33]。 研究員 Nightmare Eclipse 喺冇事先通知微軟嘅情況下,公開咗六個 Windows 零日漏洞嘅概念驗證攻擊代碼(BlueHammer、RedSun、UnDefend、YellowKey、GreenPlasma、MiniPlasma),其中三個(BlueHammer、RedSun、UnDefend)證實正被黑客積極利用,搞到美國 CISA 要落令聯邦機構緊急修補 [6][24]。
278K0
AI 提示
openai.comCreate a landscape editorial hero image for this Studio Global article: What prompted Microsoft to back off its legal threats against security researcher "Nightmare Eclipse" after the researcher disclosed six unp. Article summary: ## What prompted Microsoft to back off. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "After a disgruntled security researcher published several zero-day exploits in recent weeks, Microsoft seemingly indicated criminal charges were in order. Microsoft is facing an on" source context "Microsoft's Zero-Day Legal Threats Spark Backlash - Dark Reading" Reference image 2: visual subject "Lorenzo Franceschi-Bicchierai" source context "Microsoft under fire for threatening security researcher with criminal ..." Style: premium digital editorial illustration, source-backed research mood
2026 年 5 月底,微軟因為佢嘅安全回應中心(MSRC)出咗篇疑似要法律搞一個代號「Nightmare Eclipse」嘅安全研究員,結果搞出個大頭佛。唔夠一個禮拜,微軟就即刻跪低,出咗份聲明,直接同自己早幾日嘅強硬姿態打對台。呢場大龍鳳,清清楚楚展示咗社群壓力可以幾快改寫一間企業嘅漏洞披露政策。
成場大龍鳳係點開始?
2026 年 4 月初至 5 月中,一個用緊 Nightmare Eclipse 同 Chaotic Eclipse 呢兩個代號嘅研究員,先後公開咗六個 Windows 零日漏洞嘅概念驗證(PoC)攻擊代碼 。呢幾個漏洞仲改晒名:BlueHammer、RedSun、UnDefend、YellowKey、GreenPlasma 同 MiniPlasma,專攻 Windows 嘅核心組件,包括 Microsoft Defender 同 BitLocker
。
佢嘅玩法完全唔跟「協調漏洞披露」(CVD)嗰套規矩。佢唔會預先通知微軟,仲成日專登揀正微軟每月例牌出安全修補嘅「Patch Tuesday」之後先公開,目的就係要將漏洞曝光嘅時間拉到最長,等微軟冇得即刻補鑊 。
呢六個漏洞入面,有三個好快就畀人證實緊係畀黑客「落場」用緊:BlueHammer(CVE-2026-33825)、RedSun(CVE-2026-41091)同 UnDefend(CVE-2026-45498)。美國網絡安全暨基礎設施安全局(CISA)仲要拿拿聲將佢哋加入「已知被利用漏洞」目錄,下令聯邦機構要緊急修補 。微軟喺 4 月 14 號嘅 Patch Tuesday 修補咗 BlueHammer,之後收到風話 RedSun 同 UnDefend 畀人用嚟攻擊,先拿拿臨喺 5 月 21 號出咗「緊急安全修補」(out-of-band fixes)。其餘三個漏洞——YellowKey(一個 BitLocker 繞過漏洞,編號 CVE-2026-45585)、GreenPlasma 同 MiniPlasma——到咗 6 月初都仲未有修補程式 。
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
人們還問
「微軟跪低!安全研究員 Nightmare Eclipse 法律威脅風波全記錄」的簡短答案是什麼?
微軟喺 2026 年 6 月 2 日急轉彎,發聲明話「無意對進行或發布安全研究嘅個人採取行動」,直接推翻咗 5 月 27 日暗示會出動數碼犯罪調查組搞研究員嘅講法 [29][33]。
首先要驗證的關鍵點是什麼?
微軟喺 2026 年 6 月 2 日急轉彎,發聲明話「無意對進行或發布安全研究嘅個人採取行動」,直接推翻咗 5 月 27 日暗示會出動數碼犯罪調查組搞研究員嘅講法 [29][33]。 研究員 Nightmare Eclipse 喺冇事先通知微軟嘅情況下,公開咗六個 Windows 零日漏洞嘅概念驗證攻擊代碼(BlueHammer、RedSun、UnDefend、YellowKey、GreenPlasma、MiniPlasma),其中三個(BlueHammer、RedSun、UnDefend)證實正被黑客積極利用,搞到美國 CISA 要落令聯邦機構緊急修補 [6][24]。
接下來在實務上我該做什麼?
成個網絡安全界基本上係一致鬧爆微軟,話佢咁樣法律恐嚇會「寒蟬效應」,搞到啲研究員以後唔敢再透過官方渠道通報漏洞,最終只會令成個生態系統更加唔安全 [3][8]。
來源
- securityaffairs.comMicrosoft Calls the Zero-Day Dumps Irresponsible. The Researcher ...
- blog.barracuda.comNightmare-Eclipse: six zero-days, six weeks and one big grudge
- thehackernews.comMicrosoft Slams Public Zero-Day Disclosures Amid GitHub ...
- rswebsols.comMicrosoft Legal Threat Sparks Outrage in Cybersecurity Community
- news.leodex.ioMicrosoft threatens legal action against researcher over zero-day ...
Loading comments...
Comments
0 comments