Microsoftと“ご立腹の0-day研究者”が泥沼化、Windows脆弱性公開をめぐる攻防
Microsoftと、Nightmare Eclipse(別名 Chaotic Eclipse)と名乗る研究者の対立が激化している 研究者はこれまでに 6件のWindows 0-day を公開し、うち 3件は実際に攻撃で悪用 されている Microsoftは「正式な手順で報告されていない」と主張し、法的対応を示唆した 研究者側は、Microsoftに連絡を無視され、アカウント削除や報酬なしの扱いを受けたと反発している 次の“公開予告”として 7月14日 が示されており、事態はさらに悪化する可能性がある この騒動は、脆弱性報告のルール作りがいかに難しいかを改めて見せつけている 今回の話は、かなり人間くさいです。 単なる「脆弱性が見つかった」「パッチが出た」という技術ニュースではなく、研究者とMicrosoftの関係が完全にこじれた結果、0-day公開合戦みたいな状態になっている、というのが本質です。 記事によると、Nightmare Eclipse(Chaotic Eclipseとも呼ばれる)は、Windowsの深い知識を持つ一方で、Microsoftに強
papoo.work