Name: Doppler VPN
Brand: Doppler VPN
Price: 6.99 USD
Availability: InStock

因披露纠纷，微软遭受抨击

在一名安全研究员公开披露其产品中一系列未修补漏洞及概念验证利用代码后，微软警告称可能对该研究员采取法律行动并动用执法部门，从而遭到批评。

在周三发表的一篇博文中，公司批评了使用笔名“噩梦日蚀”的研究员，指责其公布了据称影响包括 Windows Defender 和 BitLocker 在内的产品的漏洞细节。微软称这种披露并不“负责任”，因为在信息公开之前这些漏洞尚未被修补。

公司的回应再次引发了长期争论，即安全研究员应如何处理主要软件平台上的漏洞，尤其是在这些漏洞影响到来自像微软这样资源丰富公司的广泛使用工具时。

微软表示，根据公司和美国网络安全机构 CISA 的说法，噩梦日蚀披露的部分漏洞随后已被黑客在现实攻击中使用。它还表示，其 Digital Crimes Unit 将继续对被认为有助于犯罪活动的人追究责任，包括通过与执法机构协调行动。

噩梦日蚀在过去几周的一系列博文中声称曾与微软取得联系，并称公司对其进行了不当对待。该研究员指称微软撤销了其 Microsoft Security Response Center 帐户的访问权限，即研究人员用以报告漏洞的门户。研究员暗示，这使得公开披露成为唯一选项。

随后，这些漏洞被发布到开源代码仓库，并附带了旨在演示如何利用它们的代码。一旦在没有补丁的情况下被披露，这些问题就成为了零日漏洞 —— 即在披露或被利用时软件制造商并不知晓的漏洞。

微软的批评集中在研究员应先私下报告漏洞的论点上。研究员在博文中表示，微软对该情况的处理使他们无法走上所谓的“负责任披露”的任何有意义路径。这场争议现在使微软的安全响应流程受到审视，同时重新提出了一个问题：公共利益研究与可能协助攻击者的行为之间的界限在哪里。

来源：

使用 Doppler VPN 私密浏览 — 不保留日志，一键连接。