Microsoft diserang selepas penyelidik menerbitkan kecacatan yang belum ditampal dengan kod eksploit
Microsoft diserang berikutan pertikaian pendedahan
Microsoft menghadapi kritikan selepas memberi amaran bahawa ia mungkin mengambil tindakan undang-undang dan melibatkan penguatkuasaan undang-undang terhadap seorang penyelidik keselamatan yang mendedahkan secara awam satu siri kecacatan yang belum ditampal dalam produknya, bersama kod eksploit bukti konsep.
Dalam satu catatan blog yang diterbitkan pada hari Rabu, syarikat itu mengkritik penyelidik yang menggunakan nama samaran “Nightmare Eclipse,” kerana menerbitkan butiran pepijat yang didakwa menjejaskan produk termasuk Windows Defender dan BitLocker. Microsoft berkata pendedahan itu tidak “bertanggungjawab” kerana kecacatan tersebut belum ditampal sebelum maklumat itu didedahkan kepada umum.
Tindakan balas syarikat itu telah menghangatkan kembali perdebatan lama tentang bagaimana penyelidik keselamatan harus mengendalikan kelemahan dalam platform perisian utama, terutama apabila kecacatan itu menjejaskan alat yang digunakan secara meluas dari sebuah syarikat dengan sumber seperti Microsoft.
Microsoft berkata beberapa kecacatan yang didedahkan oleh Nightmare Eclipse kemudiannya telah digunakan oleh penggodam dalam serangan dunia sebenar, menurut syarikat dan agensi keselamatan siber AS, CISA. Ia juga berkata Unit Jenayah Digitalnya akan terus mendakwa kes terhadap mereka yang dipercayai menyumbang kepada aktiviti jenayah, termasuk melalui koordinasi dengan penguatkuasaan undang-undang.
Nightmare Eclipse, dalam satu siri catatan blog sepanjang beberapa minggu lalu, mendakwa telah berhubung dengan Microsoft dan berkata syarikat itu memperlakukan mereka dengan tidak wajar. Penyelidik itu mendakwa Microsoft membatalkan akses ke akaun Microsoft Security Response Center mereka, portal yang digunakan penyelidik untuk melaporkan kelemahan. Itu, menurut penyelidik, meninggalkan pendedahan awam sebagai satu-satunya pilihan.
Kecacatan itu kemudiannya diterbitkan di repositori sumber terbuka, di mana ia disertai oleh kod yang bertujuan untuk menunjukkan bagaimana ia boleh dieksploitasi. Setelah didedahkan tanpa tampalan, isu-isu itu menjadi zero-day — kecacatan yang tidak diketahui oleh pembuat perisian pada masa pendedahan atau eksploitasi.
Kritikan Microsoft bertumpu pada hujah bahawa penyelidik sepatutnya melaporkan pepijat itu secara persendirian terlebih dahulu. Kedudukan penyelidik, seperti yang dibentangkan dalam catatan blog tersebut, ialah bahawa cara Microsoft menguruskan situasi itu tidak memberi mereka laluan bermakna untuk pendedahan bertanggungjawab. Pertikaian itu kini meletakkan proses tindak balas keselamatan Microsoft di bawah pemerhatian, sambil menimbulkan persoalan baharu tentang di mana sempadan antara penyelidikan kepentingan awam dan kelakuan yang boleh membantu penyerang.
Sumber:
Layari secara peribadi dengan Doppler VPN — tiada log, sambungan satu ketik.