近日,围绕“零时差漏洞”的责任争议持续发酵。研究人员 Chaotic Eclipse(Nightmare-Eclipse)自4月初起陆续公开多项 Windows 相关漏洞,包含 BlueHammer、RedSun、UnDefend、YellowKey 以及 GreenPlasma、MiniPlasma 等,并分别对应不同的 CVE 编号。随着漏洞清单不断扩充,微软方面也终于站出来,公开指责该研究人员在缺乏协调的情况下擅自披露,认为这类行为会带来“没必要的安全风险”。
微软的主张主要来自其资安回应该中心(MSRC)。5月27日,MSRC发布博客文章,明确表达反对立场:这些漏洞之所以被视为不负责任的公开,是因为披露过程缺少与厂商的充分沟通与协同。微软强调,他们会通过数字犯罪调查部门持续追踪并对助长网络犯罪的个人或黑客采取法律行动;必要时还将与全球执法机构联动。换句话说,这场争议并不只停留在“口头互怼”,而是出现了通过司法与执法力量处理的信号。
更值得关注的是,此前双方已多次传出“升级冲突”。在5月20日与5月23日,研究人员通过个人博客表示:他向微软通报漏洞的账号先后被删除,随后 GitHub 账户也被移除。其称微软正在强化此次对抗,他因此把相关内容仓库迁移到 GitLab,并扬言在7月14日采取行动,甚至以“让微软粉身碎骨”的强烈措辞回应。随后又有消息称,GitLab 于5月26日移除了该研究人员账户页面,当前页面显示“已被站方封锁”。
对于 Chaotic Eclipse 的身份,外界也出现多种推测。安全厂商 Barracuda 表示,该研究员可能与微软存在过往内部关系,或具备相当接近内部人员的技术深度;但也不排除是承包商或外部研究者。与此同时,部分媒体与安全圈人士把他视为“被不公平对待的民间英雄”,认为厂商与研究人员之间在通报流程、权益和沟通机制上存在落差。
不过,微软同样强调他们邀请多元观点、希望与安全社群协作以保护用户,并承诺透明与持续对话。但不少研究人员对微软说法仍抱持怀疑:网路上有人透露自己通报后等待数月才收到“未达服务水准”的拒绝通知,也有人称微软一开始不承认漏洞,随后却在较短时间内完成修补。究竟谁在“协调披露”的标准上更占理,恐怕仍要看后续事件发展。
