微软近期因处理零日漏洞的方式遭遇舆论批评。一名自称“Nightmare Eclipse”的安全研究者公开发布多段漏洞利用的概念验证代码,并与微软发生公开冲突,其部分发言暗示自己可能是微软前员工。
网络安全研究员凯文·博蒙特(Kevin Beaumont)注意到的,并不仅是这些漏洞本身,而是微软的回应方式。微软在官方表态中称,计划以研究者未按“适当协调程序”披露漏洞为由,考虑对 Nightmare Eclipse 采取刑事诉讼,并已陆续封禁其在 GitHub、GitLab 以及微软安全响应中心的相关账号。
博蒙特指出,当事人账号被全面封禁后,几乎不可能再按微软所谓“负责任披露”的渠道提交今后的安全漏洞。他还强调,更具讽刺意味的是,微软内部其实长期雇佣过一些曾公开发表零日漏洞利用代码的人,其中甚至包括有黑客犯罪前科的人员,同时公司也会从漏洞经纪机构购买利用程序。
在博蒙特看来,微软现在试图将“不遵守往往相当任意的‘负责任披露’框架”刑事化,这一做法本身站不住脚。他警告称,一旦真把此类案件推上法庭,微软在过往招聘、安全策略与漏洞交易方面的决策都会一并被摆上台面,形成一辆“装满前后矛盾事实的小丑车”,令其在司法审查下难以自圆其说。
从整个事件看,微软既一方面依赖安全研究社区,也通过购买与雇佣方式利用过类似行为的安全专家,另一方面又以极为强硬甚至带有震慑意味的刑事指控来回应公开披露的个人。相关争议正在安全圈内发酵,也重新引发了关于什么才算“负责任披露”、大型科技公司在漏洞披露博弈中的权力边界等问题的讨论。