内容提要
微软因处理零日漏洞而受到批评,安全研究员“梦魇日蚀”公开发布了漏洞代码,微软威胁提起刑事诉讼。研究员凯文·博蒙特指出,微软的做法与其雇佣曾公开漏洞的员工相矛盾,可能在法庭上难以辩护。
关键要点
-
微软因处理零日漏洞而受到批评,安全研究员梦魇日蚀公开发布了漏洞代码。
-
微软威胁对梦魇日蚀提起刑事诉讼,理由是未遵循“适当协调”披露漏洞的程序。
-
梦魇日蚀的GitHub、GitLab和微软安全响应中心账户被禁用。
-
安全研究员凯文·博蒙特指出,微软雇佣过公开发布零日漏洞的员工,这与其当前的做法相矛盾。
-
博蒙特认为,微软在法庭上难以辩护其将不遵循“负责任披露”框架的行为刑事化的策略。
延伸解读
法律风险与责任披露
微软对安全研究员梦魇日蚀的法律威胁引发了关于责任披露的广泛讨论。微软声称梦魇日蚀未遵循适当的漏洞披露程序,但这一做法可能在法庭上面临挑战,因为微软自身曾雇佣过公开漏洞的员工。这种矛盾可能影响公众对微软处理安全问题的信任。
安全研究员的处境
梦魇日蚀的账户被禁用,显示出安全研究员在漏洞披露中的脆弱地位。禁用账户不仅限制了其未来的研究和报告能力,也可能使其他研究员在披露漏洞时更加谨慎,担心遭受类似的法律后果。这种环境可能抑制安全研究的积极性。
微软的双重标准
凯文·博蒙特指出,微软在处理漏洞披露时存在双重标准。虽然微软对梦魇日蚀采取了法律行动,但其过去曾雇佣过公开漏洞的员工,这种做法可能在公众和法律上都难以自圆其说。这种矛盾可能影响微软的声誉和行业内的信任度。
延伸问答
微软为何对安全研究员梦魇日蚀采取法律行动?
微软威胁提起刑事诉讼,理由是梦魇日蚀未遵循“适当协调”披露漏洞的程序。
梦魇日蚀的账户为何被禁用?
梦魇日蚀的GitHub、GitLab和微软安全响应中心账户因其公开发布漏洞代码而被禁用。
凯文·博蒙特对微软的做法有何看法?
博蒙特认为微软的做法与其雇佣曾公开漏洞的员工相矛盾,且在法庭上难以辩护。
微软在处理零日漏洞方面受到怎样的批评?
微软因处理零日漏洞的方式受到批评,尤其是对梦魇日蚀的法律威胁引发争议。
什么是“负责任披露”框架?
“负责任披露”框架是指在公开漏洞之前,研究人员应与软件厂商进行适当的协调和沟通。
微软是否曾雇佣过公开漏洞的员工?
是的,微软曾雇佣过公开发布零日漏洞的员工,这与其当前的法律行动形成对比。