微軟譴責Chaotic Eclipse未經協調逕自公開多項零時差漏洞

來源: iThome | 2026-05-30
URL: https://www.ithome.com.tw/news/176228

事件概要

研究人員 Chaotic Eclipse(Nightmare-Eclipse)疑因不滿微軟漏洞通報流程,自4月初起陸續公開多項零時差漏洞,微軟於5月27日發表公開聲明予以譴責。

已公開漏洞清單

漏洞名稱CVE編號
BlueHammerCVE-2026-33825
RedSunCVE-2026-41091
UnDefendCVE-2026-45498
YellowKeyCVE-2026-45585
GreenPlasma
MiniPlasma

事件時間線

  • 4月初:Chaotic Eclipse開始公布漏洞
  • 5月20日:研究員發文指微軟刪除其漏洞通報帳號
  • 5月23日:微軟移除其GitHub帳號;研究員遷移至GitLab,揚言7月14日採取行動,威脅讓微軟「粉身碎骨」
  • 5月26日:GitLab封鎖Chaotic Eclipse帳號
  • 5月27日:MSRC發布部落格聲明,指控漏洞被「不負責任地公開」

微軟立場

  • 強調漏洞公開「帶來不必要的資安風險」
  • 警告數位犯罪調查部門將對助長網路犯罪者提出訴訟,並與全球執法機關協調
  • 強調致力透明與協作

身分與背景分析

  • Barracuda:Chaotic Eclipse可能為微軟前員工,具內部人員級別的程式碼與架構知識(不排除承包商或外部研究員)
  • Cybernews:其正成為資安社群眼中「遭科技公司不公平對待的民間英雄」

社群反應——對微軟通報流程的批評

多名研究人員公開表達不滿:

  • 有人通報漏洞5個月後才收到「不符合服務水準」的拒絕通知
  • 有人通報後微軟起初否認,卻在一個月後完成修補

衍生頁面