Microsoft Slams Public Zero-Day Disclosures Amid GitHub Researcher Account Removal
Fonte: The Hacker News | Jurisdição: Internacional | Tipo: Notícia
Microsoft has come out strongly in favor of Coordinated Vulnerability Disclosure (CVD), urging the research community to share their findings and give affected vendors an opportunity to better understand the impact and address them before they are publicly disclosed. The development comes after a researcher named Chaotic Eclipse (aka Nightmare-Eclipse) disclosed details of multiple zero-day
Microsoft posicionou-se publicamente sobre práticas de divulgação de vulnerabilidades de segurança, reafirmando sua posição quanto à Divulgação Coordenada de Vulnerabilidades (CVD). A empresa instou a comunidade de pesquisadores de segurança a adotar o modelo CVD, permitindo que fornecedores afetados compreendam o impacto das falhas e implementem correções antes da divulgação pública. O posicionamento foi motivado pela divulgação pública de múltiplas vulnerabilidades zero-day por pesquisador identificado como Chaotic Eclipse (Nightmare-Eclipse), que contornou os protocolos de divulgação coordenada. A declaração reforça tensões entre a indústria de tecnologia e pesquisadores de segurança quanto aos prazos e métodos apropriados de divulgação de vulnerabilidades. Embora não constitua regulação vinculante, reflete pressão normativa sobre práticas de segurança responsável e pode influenciar políticas corporativas de resposta a incidentes e coordenação com pesquisadores independentes.
Fonte original: The Hacker News