微軟譴責Chaotic Eclipse未經協調逕自公開多項零時差漏洞
來源: iThome | 2026-05-30
URL: https://www.ithome.com.tw/news/176228
事件概要
研究人員 Chaotic Eclipse(Nightmare-Eclipse)疑因不滿微軟漏洞通報流程,自4月初起陸續公開多項零時差漏洞,微軟於5月27日發表公開聲明予以譴責。
已公開漏洞清單
| 漏洞名稱 | CVE編號 |
|---|---|
| BlueHammer | CVE-2026-33825 |
| RedSun | CVE-2026-41091 |
| UnDefend | CVE-2026-45498 |
| YellowKey | CVE-2026-45585 |
| GreenPlasma | — |
| MiniPlasma | — |
事件時間線
- 4月初:Chaotic Eclipse開始公布漏洞
- 5月20日:研究員發文指微軟刪除其漏洞通報帳號
- 5月23日:微軟移除其GitHub帳號;研究員遷移至GitLab,揚言7月14日採取行動,威脅讓微軟「粉身碎骨」
- 5月26日:GitLab封鎖Chaotic Eclipse帳號
- 5月27日:MSRC發布部落格聲明,指控漏洞被「不負責任地公開」
微軟立場
- 強調漏洞公開「帶來不必要的資安風險」
- 警告數位犯罪調查部門將對助長網路犯罪者提出訴訟,並與全球執法機關協調
- 強調致力透明與協作
身分與背景分析
- Barracuda:Chaotic Eclipse可能為微軟前員工,具內部人員級別的程式碼與架構知識(不排除承包商或外部研究員)
- Cybernews:其正成為資安社群眼中「遭科技公司不公平對待的民間英雄」
社群反應——對微軟通報流程的批評
多名研究人員公開表達不滿:
- 有人通報漏洞5個月後才收到「不符合服務水準」的拒絕通知
- 有人通報後微軟起初否認,卻在一個月後完成修補
衍生頁面
- 微軟譴責Chaotic Eclipse未經協調逕自公開多項零時差漏洞 — 主要事件頁面
- chaotic-eclipse — 漏洞研究員
- microsoft — 微軟立場與回應