Microsoft більше не планує переслідувати у судовому порядку дослідників безпеки, які проводять або публікують свої знахідки.
Натисніть, щоб перейти до наступної статті
Протягом останніх кількох тижнів дослідник безпеки “Chaotic Eclipse” (також відомий як Nightmare-Eclipse) та Microsoft вели суперечку після того, як експерт опублікував експлойт нульового дня під назвою YellowKey, який дозволив отримати доступ до дисків, захищених BitLocker, у Windows 11 за допомогою простого USB-ключа.
Nightmare стверджував, що Microsoft “навмисно” залишила бекдор у функції безпеки.
Технологічний гігант визнав вразливість у Windows і зазначив, що відстежує експлойт нульового дня YellowKey під ідентифікатором CVE-2026-45585, а також поділився заходами щодо пом’якшення наслідків. Однак Microsoft зазначила, що вразливості, опубліковані дослідником безпеки, не були попередньо передані компанії, як це зазначено в її політиці скоординованого розкриття вразливостей (CVD).
Відповідно, компанія заявила, що публікація не виправлених помилок разом із кодом для їх експлуатації потенційно наражає клієнтів у всій її екосистемі на ризик, що спонукало до погрози вжити юридичних заходів.
Нескоординовані розкриття, які передають код доказу концепції для не виправлених вразливостей зловмисникам, ніколи не є виправданими і мають реальні наслідки. Наш підрозділ з цифрових злочинів продовжуватиме притягати до відповідальності таких осіб та тих, хто сприяє їхній злочинній діяльності, за потреби координуючи дії з правоохоронними органами по всьому світу.
До цього Nightmare стверджував, що компанія заблокувала його обліковий запис на GitHub і навіть видалила його обліковий запис Microsoft, який використовувався для повідомлення про помилки. “[йому] особисто сказали [у Microsoft], що вони зруйнують моє життя, і вони це зробили”, — додав Nightmare, називаючи дії Microsoft помстою.
Однак, у розмові з Windows Central, речник Microsoft спростував ці твердження:
“Microsoft не видаляє облікові записи дослідників MSRC (Microsoft Security Response Center), куди будь-хто може надсилати інформацію про вразливості компанії. Microsoft не може підтвердити, який саме обліковий запис, на його думку, був деактивований.”
У розмові з Dark Reading засновник BugCrowd Кейсі Джон Елліс визнав, що ситуація Nightmare з Microsoft є складною. Однак Елліс зазначив, що рішення Microsoft розпочати кримінальне переслідування проти дослідника безпеки було “надзвичайно недалекоглядним кроком, особливо після всіх інвестицій, які вони зробили у представлення на ринку безпечного, прозорого та дружнього до досліджень образу”.
Протягом останніх кількох днів ми прислухалися до дискусії щодо скоординованого розкриття інформації та стосунків між дослідниками безпеки та постачальниками. Ми визнаємо, що ці стосунки є як критично важливими, так і, часом, тендітними. Ми глибоко цінуємо спільноту безпеки…1 червня 2026 р.
Після негативної реакції спільноти Microsoft заявила: “щоб прояснити наш підхід до юридичних питань, ми не маємо наміру вживати заходів проти осіб, які проводять або публікують свої дослідження безпеки. Коли особа порушує закон і вчиняє шкідливу діяльність, що завдає реальної шкоди нашим клієнтам, ми працюватимемо з правоохоронними органами у відповідному порядку.”
MSRC прокинувся і вирішив вбити весь добрий імідж, який вони будували протягом останнього десятиліття:https://t.co/EqmlcWqYfUMay 28, 2026
“MSRC вирішив зруйнувати весь добрий імідж, який вони будували протягом останнього десятиліття”, — зазначив Ендрю Кейс, директор з досліджень загроз у Volexity, після рішення Microsoft вжити юридичних заходів проти Nightmare.
З цією метою, принаймні Microsoft визнала зусилля, які дослідники безпеки докладають до дослідження та надсилання інформації про вразливості. Чи вплине це на ймовірність майбутніх звітів про помилки, покаже час.
Приєднуйтесь до нас на Reddit у r/WindowsCentral, щоб поділитися своїми думками та обговорити останні новини, огляди та багато іншого.
Кевін ОкемаваСоціальні мережіАвтор
Кевін Окемава — досвідчений технічний журналіст з Найробі, Кенія, який має великий досвід висвітлення останніх тенденцій та розробок у галузі на Windows Central. З пристрастю до інновацій та гострим поглядом на деталі, він писав для провідних видань, таких як OnMSFT, MakeUseOf та Windows Report, надаючи глибокий аналіз та найсвіжіші новини про все, що стосується екосистеми Microsoft. Коли він не в мережі і не зайнятий відстеженням нових тенденцій у технологіях, його можна знайти за дослідженням світу або прослуховуванням музики.
Показати більше
Ви повинні підтвердити своє публічне ім’я користувача перед коментуванням
Будь ласка, вийдіть із системи, а потім увійдіть знову, після чого з’явиться запит на введення вашого відображуваного імені.
ВийтиОСТАННІ СТАТТІ
1Forza Horizon 6: Найкращі автомобілі для драгу та налаштування для домінування на змаганнях- 2Я й не знав, що бути брехливим, корумпованим детективом може бути так весело — Warhammer 40,000: Dark Heresy знайшла спосіб, і я не можу зупинитися
- 3Огляд дротового контролера Xbox ‘Flydigi Vader 5S’ — Він трохи незграбний, але має фантастичні функції, яких, на мою думку, не вистачає більшості контролерів Xbox за замовчуванням
- 4″Найкраща ігрова клавіатура, яку я коли-небудь використовував”: ASUS надала своїй ROG Azoth Extreme золотого оновлення на честь 20-річчя, і результати вражають
- 5″Практично кожна функція високої продуктивності, яку я можу собі уявити”: Я ніколи не думав, що мені потрібна позолочена ігрова миша, але ось я
Що це означає для користувачів: Microsoft заявила, що не буде переслідувати дослідників безпеки за публікацію інформації про вразливості. Це означає, що компанії, які займаються пошуком помилок у програмному забезпеченні, можуть більш вільно ділитися своїми знахідками, що потенційно призведе до швидшого виправлення проблем безпеки у таких продуктах, як Windows 11, Office 365 та інших сервісах Microsoft. Однак, якщо дії дослідника виходять за рамки безпеки і стають шкідливими, Microsoft співпрацюватиме з правоохоронними органами.
За матеріалами: www.windowscentral.com