近日,围绕“零时差漏洞”披露方式的争议在安全圈迅速升温。研究人员Chaotic Eclipse(Nightmare-Eclipse)被指从4月初开始,陆续公开多项Windows相关漏洞,包括BlueHammer、RedSun、UnDefend、YellowKey、GreenPlasma以及MiniPlasma等,并对应多个CVE编号。随着影响扩大,微软方面终于做出公开回应,直接批评这名研究者在未与官方协调的情况下,自行发布漏洞细节,造成了不必要的安全风险。
微软资安回应中心(MSRC)在5月27日发布博客文章,强调其反对这种“不负责任的公开”。微软认为,漏洞若在缺乏协调的前提下暴露,会让潜在攻击者更快获得利用路径,从而增加真实世界的威胁。他们同时提到,数字犯罪调查部门会持续追踪和采取法律行动,必要时还将与全球执法机关合作。这样的表态也令外界猜测:微软可能不仅是“口头反对”,而是进一步准备从合规与执法层面推动应对。
更早之前,关于双方矛盾的消息就已出现端倪。研究人员曾在个人文章中透露,其向微软通报漏洞的相关账号被移除,随后GitHub账户也被取消;他表示已将相关仓库迁移到GitLab,并扬言会在7月14日采取行动,甚至称要让微软“付出代价”。然而几天后,网络又传出GitLab在26日将Chaotic Eclipse账户封禁,页面显示该用户已被站点屏蔽。
至于Chaotic Eclipse的真实身份,外界并不一致。有安全公司指出,他可能是微软前员工;也不排除是承包商或外部研究员。值得注意的是,多方观察认为其技术深度较高,能体现对底层代码与架构的理解,难度至少不像普通研究者。
与此同时,也有人对微软的说法提出质疑。部分研究者称自己早就向微软提交漏洞,但收到反馈的速度偏慢,甚至出现“未达服务标准”的拒绝通知;也有人表示,微软起初并不承认其通报,之后却在一段时间后完成修补。争议的焦点最终落回“责任披露”的边界:究竟怎样的节奏与协作才算真正兼顾安全与透明?这场对抗,恐怕还远未结束。
