微软因零日漏洞处理方式遭质疑,拟起诉前员工
【环球网科技综合报道】5 月 31 日消息,据海外科技媒体瘾科技报道,微软近期因其对零日漏洞的处理方式引发广泛批评。一名自称 Nightmare Eclipse 的用户公开与微软对立,并发布了概念验证漏洞利用代码。分析认为,该用户极可能是一名心怀不满的前员工。然而,网络安全研究员 Kevin Beaumont 指出,事件的核心争议在于微软的应对措施。
微软拟提起刑事诉讼并封禁相关账户
微软暗示将对 Nightmare Eclipse 提起刑事诉讼,指控其在披露漏洞时未遵循“适当的协调程序”。与此同时,微软已封禁该用户在 GitHub、GitLab 及微软安全响应中心的账户。对此,Beaumont 质疑道:“账户已被全面封禁,后续如何实现‘负责任’的漏洞报告?”
研究员质疑微软双重标准
Beaumont 进一步指出,微软自身曾雇佣过有类似行为的人员,包括那些公开发布过零日漏洞利用程序甚至拥有犯罪记录的人士。此外,微软还存在从漏洞利用程序贩子手中购买漏洞利用程序的行为。这种“严以律人,宽以待己”的做法引发了业界的强烈关注。