微軟譴責Chaotic Eclipse未經協調逕自公開多項零時差漏洞
研究人員 Chaotic Eclipse(又名 Nightmare-Eclipse)因不滿微軟漏洞通報流程,自2026年4月起陸續未經協調公開多項零時差漏洞,包含 BlueHammer、RedSun、UnDefend、YellowKey、GreenPlasma、MiniPlasma 等漏洞。微軟於2026年5月27日由MSRC發表公開聲明予以強烈譴責。
已公開漏洞清單
| 漏洞名稱 | CVE編號 |
|---|---|
| BlueHammer | CVE-2026-33825 |
| RedSun | CVE-2026-41091 |
| UnDefend | CVE-2026-45498 |
| YellowKey | CVE-2026-45585 |
| GreenPlasma | — |
| MiniPlasma | — |
時間線
- 4月初:開始逕自公開漏洞
- 5月20日:稱微軟刪除其漏洞通報帳號
- 5月23日:微軟移除其GitHub帳號;研究員遷移至GitLab,威脅7月14日採取行動
- 5月26日:GitLab封鎖帳號
- 5月27日:微軟MSRC發表聲明,指「不負責任地公開」
微軟立場
微軟指控漏洞公開帶來不必要的資安風險,警告數位犯罪調查部門將對助長網路犯罪者提出訴訟。
身分與背景
Barracuda 分析 Chaotic Eclipse 可能為微軟前員工(或承包商)。Cybernews 指出其已在資安社群中形成「遭科技公司不公平對待的民間英雄」形象。
社群批評
多名研究人員對微軟通報流程提出批評,包括通報後5個月才收到拒絕通知、微軟否認漏洞卻一個月後修補等案例。
來源文章
相關頁面
- chaotic-eclipse — 漏洞研究員
- microsoft — 微軟回應與立場
- levelblue — 警告五個漏洞可串成完整攻擊鏈
- Chaotic Eclipse五個零時差漏洞串成完整Windows攻擊鏈 — 相關事件