مائیکروسافٹ نے محقق کے بغیر پیچ کیے گئے خامیوں اور استحصال کوڈ کی اشاعت کے بعد قانونی کارروائی کی دھمکی دی
مائیکروسافٹ انکشاف تنازعے پر تنقید کی زد میں
مائیکروسافٹ تنقید کی زد میں ہے کیونکہ اس نے ایک سیکیورٹی محقق کے خلاف قانونی کارروائی کرنے اور قانون نافذ کرنے والے اداروں کو شامل کرنے کی وارننگ دی، جس نے عوامی طور پر اپنی مصنوعات میں ایک سلسلہ بے پیچ شدہ خامیوں اور ثبوتِ تصور (proof-of-concept) استحصال کوڈ کے ساتھ افشا کیے۔
بدھ کو شائع ہونے والی ایک بلاگ پوسٹ میں کمپنی نے اس محقق پر تنقید کی، جو “نائٹ میئر ایکلیپس” کا ہینڈل استعمال کرتا ہے، کہ اس نے ایسی خامیوں کی تفصیلات شائع کیں جو کمپنی کے بقول Windows Defender اور بٹ لاکر سمیت متاثرہ مصنوعات کو متاثر کرتی تھیں۔ مائیکروسافٹ نے کہا کہ یہ انکشاف "ذمہ دارانہ" نہیں تھا کیونکہ معلومات عوامی کرنے سے پہلے خامیوں کا پیچ جاری نہیں کیا گیا تھا۔
کمپنی کے ردِعمل نے ایک طویل المدتی بحث کو دوبارہ جگا دیا ہے کہ سیکیورٹی محققین کو بڑے سافٹ ویئر پلیٹ فارمز کی خامیوں کے ساتھ کس طرح پیش آنا چاہیے، خاص طور پر جب خامیاں اس قسم کے وسیع پیمانے پر استعمال ہونے والے آلات کو متاثر کرتی ہوں جن کے پاس مائیکروسافٹ جیسے وسائل موجود ہوں۔
مائیکروسافٹ نے کہا کہ نائٹ میئر ایکلیپس کے ذریعے افشا کی گئی بعض خامیوں کو بعد ازاں حقیقی دنیا میں حملہ آوروں نے استعمال کیا، جیسا کہ کمپنی اور امریکی سائبرسکیورٹی ایجنسی سیسا نے بتایا۔ کمپنی نے یہ بھی کہا کہ اس کی ڈیجیٹل کرائمز یونٹ اُن افراد کے خلاف کیس چلانا جاری رکھے گی جن کے بارے میں اس کا خیال ہے کہ وہ مجرمانہ سرگرمی میں حصہ ڈالتے ہیں، بشمول قانون نافذ کرنے والے اداروں کے ساتھ ہم آہنگی کے ذریعے۔
نائٹ میئر ایکلیپس نے پچھلے چند ہفتوں میں ایک سلسلہ وار بلاگ پوسٹس میں دعویٰ کیا کہ وہ مائیکروسافٹ سے رابطے میں تھا اور کمپنی نے ان کے ساتھ بدسلوکی کی۔ محقق نے الزام لگایا کہ مائیکروسافٹ نے ان کے مائیکروسافٹ سیکیورٹی رسپانس سینٹر اکاؤنٹ تک رسائی منسوخ کر دی، وہ پورٹل جسے محققین خامیوں کی رپورٹنگ کے لیے استعمال کرتے ہیں۔ محقق نے اشارہ کیا کہ اس اقدام کے باعث عوامی افشاء ہی واحد آپشن رہ گیا۔
اس کے بعد خامیاں اوپن سورس ریپوزیٹریز پر شائع کر دی گئیں، جہاں اُن کے ساتھ وہ کوڈ بھی شامل تھا جو یہ ظاہر کرنے کے لیے تھا کہ انہیں کیسے استحصال کیا جا سکتا ہے۔ جب بغیر پیچ کے ان کو افشا کیا گیا تو یہ مسائل زیرو ڈے بن گئے — یعنی وہ خامیاں جن کا سافٹ ویئر بنانے والے کو افشاء یا استحصال کے وقت علم نہیں تھا۔
مائیکروسافٹ کی تنقید اس دلیل کے گرد گھومتی ہے کہ محقق کو پہلے نجی طور پر خامیوں کی رپورٹ کرنی چاہیے تھی۔ محقق کی پوزیشن، جیسا کہ بلاگ پوسٹس میں پیش کی گئی ہے، یہ ہے کہ مائیکروسافٹ نے جس طرح صورتِ حال سنبھالی اس نے انہیں کسی بامعنی راستے پر ذمہ دارانہ انکشاف کے لیے نہیں چھوڑا۔ یہ تنازعہ اب مائیکروسافٹ کے سیکیورٹی رسپانس عمل کو کڑی جانچ کے تحت لاتا ہے، اور عوامی مفاد کی تحقیق اور ایسی سرگرمی کے درمیان نئی سوالات اٹھاتا ہے جو حملہ آوروں کی مدد کر سکتی ہے۔
ذرائع:
Doppler VPN کے ساتھ نجی طور پر براؤز کریں — کوئی لاگز نہیں، ایک ٹیپ میں کنیکٹ کریں.