微軟因其對零日漏洞的處理而受到批評。一個名叫 Nightmare Eclipse 的人公開對該公司提出了質疑,並發布了概念驗證漏洞程式碼。他們的一些貼文表明他們是心懷不滿的前員工。但引起網路安全研究員凱文·博蒙特注意的是微軟的反應。
微軟表示,它計劃對 Nightmare Eclipse 提起刑事訴訟,指控其在披露漏洞時未能遵循「適當的協調」。他們也停用了 Nightmare Eclipse 的 GitHub、GitLab 和 Microsoft 安全回應中心帳戶。正如博蒙特指出的那樣,“當你被阻止時,很難‘負責任地’報告未來的漏洞。”
令博蒙特煩惱的是,微軟僱用了做過許多同樣事情的人。他們僱用了公開發布零日漏洞的人員,其中一些有駭客犯罪記錄。微軟也從經紀人那裡購買了漏洞程式。
如果微軟的策略是試圖將未能遵守經常任意的「負責任的披露」框架定為刑事犯罪,那麼祝你在法庭上辯護好運——因為微軟過去的決定以及在此過程中可能發生的事件有一大堆小丑車。
