微软拒付赏金封号激怒研究员 放话公布更多零日漏洞
时间:2026-05-28 | 作者:318050 | 阅读:05月27日发生了一件事,让整个安全圈都炸了锅。一位绰号Nightmare-Eclipse的安全研究员Chaotic Eclipse,他的GitHub账号直接被微软封了。
Eclipse声称,微软之前已经删掉了他在MSRC(微软安全响应中心)提交漏洞的账户。他还放话——7月14日要公布更多Windows零日漏洞。这哪里是研究员和厂商之间的正常博弈?分明是双方彻底撕破脸了。
事件起因:公开零日漏洞被驳回
事情的导火索在今年4月初。当时Eclipse公开了两个零日漏洞,代号BlueHammer和RedSun。按照行业惯例,零日漏洞应该先报给厂商,等修复再公开。但Eclipse在博客里说,微软根本就没把他的报告当回事——驳回报告、不给赏金,还导致他遭受了经济损失。
赏金争议:一分钱都没拿到
微软的MSRC项目对零日漏洞一向大方,最高能到3万到10万美元。Hyper-V漏洞赏金更是高达25万美元。结果呢?Eclipse声称自己“一分钱都没拿到”。换了谁心里都得堵得慌。
冲突升级:微软“要毁了我的生活”
更离谱的还在后面。Eclipse说微软“亲口说要毁了我的生活,他们也做到了”。他甚至设置了一个“死亡开关”,扬言要“确保微软粉身碎骨”。这种级别的威胁,已经不是单纯的技术分歧了,而是个人恩怨在升级。
已公开的6个Windows零日漏洞
截至发稿,Eclipse已经公开了6个Windows零日漏洞,分别是:
- BlueHammer和RedSun——通过Windows Defender获取SYSTEM权限
- UnDefend——能让Defender直接离线
- GreenPlasma——利用CTFMon服务进行提权
- MiniPlasma——通过Windows Cloud Filter驱动的漏洞提权
- YellowKey——几乎可以无门槛绕过BitLocker加密
这六弹连发,每个都直击要害。目前,BlueHammer、RedSun和UnDefend已经被确认在野外遭到实际利用。剩下的几个漏洞,因为Eclipse公开了完整或部分概念验证代码,攻击者想要复现也几乎没什么门槛。
专家评论:微软裁员导致合作破裂
这起事件背后,安全专家William Dormann的评论可能点出了真正的问题根源。他说,MSRC以前非常优秀,但微软为了省钱裁掉了技术人员,留下的只是按流程办事的人。甚至要求研究员提交漏洞利用视频才能立案——这门槛一高,很多漏洞报告可能连被认真审阅的机会都没有。双方合作破裂的种子,恐怕早就种下了。
来源:整理自互联网
免责声明:文中图文均来自网络,如有侵权请联系删除,心愿游戏发布此文仅为传递信息,不代表心愿游戏认同其观点或证实其描述。
相关文章
更多-
- 70GB!Windows 11默认服务占用大量硬盘空间:微软最初都没搞懂
- 时间:2026-07-02
-
- Win11 WSL容器无需Docker 原生构建运行管理Linux容器
- 时间:2026-07-02
-
- Win11漏洞吞噬500GB硬盘空间性能骤降
- 时间:2026-07-02
-
- 微软考虑取消《刀锋战士》游戏并关闭Arkane工作室
- 时间:2026-07-01
-
- Win11 24H2今年停止支持 Win10延寿1年 速升级
- 时间:2026-07-01
-
- Win11文件被占用无法删除 微软解析常见原因
- 时间:2026-06-30
-
- 微软拼音输入法无法输入中文只打字母怎么办
- 时间:2026-06-20
-
- 微软拼音输入法输入顿号符号的操作方法
- 时间:2026-06-18
精选合集
更多大家都在玩
大家都在看
更多-
- 高考志愿填报模板完整版附表格填写示例
- 时间:2026-07-04
-
- 2026好玩的挂机手游推荐
- 时间:2026-07-04
-
- 高考志愿填报规划师职业前景与报考指南
- 时间:2026-07-04
-
- 高考志愿填报实用指导与技巧
- 时间:2026-07-04
-
- 高考志愿填报时间安排
- 时间:2026-07-04
-
- 高考志愿填报系统使用技巧与注意事项
- 时间:2026-07-04
-
- 高考志愿填报模拟系统指南
- 时间:2026-07-04
-
- 高考志愿填报方法与技巧详解
- 时间:2026-07-04
