Name: Doppler VPN
Brand: Doppler VPN
Price: 6.99 USD
Availability: InStock

ไมโครซอฟท์ตกเป็นเป้าความไม่พอใจในข้อพิพาทการเปิดเผยช่องโหว่

ไมโครซอฟท์กำลังเผชิญบทวิจารณ์หลังเตือนว่าจะอาจดำเนินคดีและดึงหน่วยบังคับใช้กฎหมายเข้ามายังนักวิจัยด้านความปลอดภัยที่เผยชุดช่องโหว่ที่ยังไม่ได้แพตช์ในผลิตภัณฑ์ของบริษัท พร้อมโค้ด proof-of-concept สำหรับการโจมตี

ในบล็อกโพสต์ที่เผยแพร่เมื่อวันพุธ บริษัทตำหนินักวิจัยผู้ใช้ชื่อว่า “Nightmare Eclipse” ที่เผยรายละเอียดของบั๊กซึ่งกล่าวว่ามีผลกระทบต่อผลิตภัณฑ์รวมถึง Windows Defender และ BitLocker ไมโครซอฟท์ระบุว่าการเปิดเผยข้อมูลดังกล่าวไม่ถือว่าเป็นการ "รับผิดชอบ" เพราะช่องโหว่ยังไม่ได้รับการแพตช์ก่อนที่ข้อมูลจะถูกเผยแพร่สู่สาธารณะ

คำตอบของบริษัทได้ปลุกประเด็นถกเถียงระยะยาวเกี่ยวกับแนวทางที่นักวิจัยด้านความปลอดภัยควรรายงานช่องโหว่บนแพลตฟอร์มซอฟต์แวร์ขนาดใหญ่ โดยเฉพาะเมื่อช่องโหว่มีผลต่อเครื่องมือที่ใช้อย่างแพร่หลายจากบริษัทที่มีทรัพยากรเช่นไมโครซอฟท์

ไมโครซอฟท์กล่าวว่าช่องโหว่บางส่วนที่ Nightmare Eclipse เปิดเผยถูกนำไปใช้โดยผู้โจมตีในเหตุการณ์จริง ตามข้อมูลจากบริษัทและหน่วยงานความมั่นคงไซเบอร์ของสหรัฐฯ CISA บริษัทยังระบุว่า Digital Crimes Unit จะยังคงติดตามคดีต่อต่อผู้ที่เชื่อว่ามีส่วนร่วมในกิจกรรมที่เป็นความผิด รวมถึงผ่านการประสานงานกับหน่วยบังคับใช้กฎหมาย

Nightmare Eclipse ในชุดบทความบล็อกตลอดสองสามสัปดาห์ที่ผ่านมา อ้างว่าได้ติดต่อกับไมโครซอฟท์และกล่าวว่าบริษัทปฏิบัติต่อพวกเขาไม่ดี นักวิจัยกล่าวหาว่าไมโครซอฟท์เพิกถอนการเข้าถึงบัญชี Microsoft Security Response Center ของพวกเขา พอร์ทัลที่นักวิจัยใช้รายงานช่องโหว่ ซึ่งตามที่นักวิจัยระบุ การกระทำดังกล่าวทำให้การเปิดเผยสู่สาธารณะกลายเป็นทางเลือกเดียว

ช่องโหว่เหล่านั้นถูกเผยแพร่ในที่เก็บซอร์สโค้ดแบบเปิด ซึ่งมาพร้อมกับโค้ดที่มีจุดประสงค์เพื่อสาธิตว่าอาจถูกนำไปใช้โจมตีได้อย่างไร เมื่อตัวบั๊กถูกเผยแพร่โดยยังไม่มีแพตช์ ปัญหาเหล่านี้ก็กลายเป็น zero-days — ข้อบกพร่องที่ผู้ผลิตซอฟต์แวร์ไม่ทราบในขณะเปิดเผยหรือถูกนำไปใช้โจมตี

การตำหนิของไมโครซอฟท์เน้นไปที่ข้อโต้แย้งว่านักวิจัยควรรายงานบั๊กโดยทางเอกชนก่อน ฝ่ายนักวิจัยในโพสต์บล็อกระบุว่าแนวทางการจัดการของไมโครซอฟท์ทำให้พวกเขาไม่มีช่องทางที่มีความหมายในการเปิดเผยอย่างรับผิดชอบ ข้อพิพาทครั้งนี้ทำให้กระบวนการตอบสนองด้านความปลอดภัยของไมโครซอฟท์ต้องถูกพิจารณาอีกครั้ง ขณะเดียวกันก็ตั้งคำถามใหม่เกี่ยวกับเส้นแบ่งระหว่างงานวิจัยที่อยู่ในผลประโยชน์สาธารณะกับพฤติกรรมที่อาจช่วยผู้โจมตีได้

แหล่งที่มา:

techcrunch.com

ท่องเว็บแบบส่วนตัวด้วย Doppler VPN — ไม่มีการบันทึก, เชื่อมต่อด้วยการแตะครั้งเดียว.