微軟譴責Chaotic Eclipse未經協調逕自公開多項零時差漏洞

研究人員 Chaotic Eclipse(又名 Nightmare-Eclipse)因不滿微軟漏洞通報流程,自2026年4月起陸續未經協調公開多項零時差漏洞,包含 BlueHammer、RedSun、UnDefend、YellowKey、GreenPlasma、MiniPlasma 等漏洞。微軟於2026年5月27日由MSRC發表公開聲明予以強烈譴責。

已公開漏洞清單

漏洞名稱CVE編號
BlueHammerCVE-2026-33825
RedSunCVE-2026-41091
UnDefendCVE-2026-45498
YellowKeyCVE-2026-45585
GreenPlasma
MiniPlasma

時間線

  • 4月初:開始逕自公開漏洞
  • 5月20日:稱微軟刪除其漏洞通報帳號
  • 5月23日:微軟移除其GitHub帳號;研究員遷移至GitLab,威脅7月14日採取行動
  • 5月26日:GitLab封鎖帳號
  • 5月27日:微軟MSRC發表聲明,指「不負責任地公開」

微軟立場

微軟指控漏洞公開帶來不必要的資安風險,警告數位犯罪調查部門將對助長網路犯罪者提出訴訟。

身分與背景

Barracuda 分析 Chaotic Eclipse 可能為微軟前員工(或承包商)。Cybernews 指出其已在資安社群中形成「遭科技公司不公平對待的民間英雄」形象。

社群批評

多名研究人員對微軟通報流程提出批評,包括通報後5個月才收到拒絕通知、微軟否認漏洞卻一個月後修補等案例。

來源文章

相關頁面