原文:Microsoft is threatening legal action for disclosing exploits / The company is feuding with a security researcher publicly posting vulnerabilities.
是 The Verge 的周末编辑。他拥有超过 18 年的经验,其中 10 年担任 Engadget 的总编辑。
该作者的帖子将添加到您的每日电子邮件摘要和主页源中。
微软因其对零日漏洞的处理而面临批评。一个名为 Nightmare Eclipse 的人公开与该公司发生争执,并发布了概念验证漏洞利用代码。他们的一些帖子表明他们是心怀不满的前雇员。但引起网络安全研究员凯文·博蒙特注意的是微软的回应。
微软表示,计划对 Nightmare Eclipse 提起刑事诉讼,指控其在披露漏洞时未能遵循“适当的协调”。他们还禁用了 Nightmare Eclipse 的 GitHub、GitLab 和 Microsoft 安全响应中心帐户。正如博蒙特指出的那样,“当你被禁止时,‘负责任地’报告未来的漏洞是相当困难的。”
令博蒙特烦恼的是,微软雇佣的人做过许多完全相同的事情。他们雇佣了公开发布零日漏洞的人员,其中一些人有黑客犯罪记录。微软还从经纪人那里购买了漏洞利用程序。
博蒙特总结道:
如果微软的策略是试图将不遵循任意“负责任的披露”框架的行为定为犯罪,那么祝你在法庭上辩护好运——因为微软内部有一个完整的小丑车,里面有事先的决策以及在此过程中会出现的事实。