Microsoft corrige deux vulnérabilités 0-day divulguées par un chercheur
Original : Locked in heated rivalry with researcher, Microsoft fixes 0-day they disclosed
Pourquoi c'est important
Illustre les tensions entre chercheurs et Microsoft sur la divulgation de vulnérabilités critiques
Microsoft a publié mardi des correctifs pour deux failles zero-day haute gravité divulguées par le chercheur Nightmare Eclipse. Les vulnérabilités CVE-2026-45586 et MiniPlasma permettent l'escalade de privilèges locaux vers les droits SYSTEM.
Microsoft a corrigé CVE-2026-45586 (GreenPlasma), une vulnérabilité d'escalade de privilèges locale dans Windows Collaborative Translation Framework. La faille nécessite une complexité minimale d'exploitation sans interaction utilisateur. MiniPlasma s'avère être CVE-2020-17103, initialement corrigée il y a six ans mais réapparue par régression. Nightmare Eclipse a divulgué ces failles après qu'un accord avec Microsoft ait été rompu selon le chercheur. D'autres vulnérabilités comme YellowKey (contournement BitLocker), RedSun et BlueHammer restent non corrigées. Microsoft fournit des instructions manuelles de mitigation pour YellowKey.