IT之家 6 月 7 日消息,据科技媒体 Notebookcheck 今天报道,在全球网络安全行业人士的强烈反对之下,微软已正式收回此前针对白帽黑客“梦魇日蚀(Nightmare Eclipse)”的强硬法律威胁。
据报道,“梦魇日蚀”曾在此前绕过微软的传统漏洞提交流程,直接公开了多个 Windows 高危漏洞代码。该研究项目曾成功利用多个影响 Windows 核心防御机制的零日漏洞,涵盖 BlueHammer 本地提权漏洞链、针对 Defender 的 RedSun 工具。
微软数字犯罪部门最初对此采取强硬法律行动,封禁了“梦魇日蚀”的 GitHub、GitLab 账号,引发安全领域专家批评。许多人士认为,利用法律手段打压白帽黑客会导致防御性安全研究停滞不前,让真实网络环境更容易遭到恶意攻击者威胁。
微软在最新政策更新中表示:“我们无意对从事合法漏洞研究工作的个人采取法律行动”。并完全停止此前备受争议的“负责任披露”机制,回归传统的“协调披露(IT之家注:CVD)”框架。该公司同时承认,近期部分自动化平台的执法措施远未达到社区期待,并承诺未来将以善意合作的方式处理漏洞报告。
虽然微软已经让步,但“梦魇日蚀”暂未积极回应和解信号。他表示,目前已有多个独立漏洞开发者选择绕开企业提交流程,直接将未修复的安全漏洞提交给他们。
此外,“梦魇日蚀”还表示,他将在未来几周内公开全新漏洞利用代码,号称能够在虚拟机环境中绕过 BitLocker 硬件加密保护机制。
相关阅读:
来源: IT之家查看原文