Microsoft、研究者との対立で公開されたゼロデイ脆弱性を修正
原題: Locked in heated rivalry with researcher, Microsoft fixes 0-day they disclosed
なぜ重要か
セキュリティ研究者との関係悪化により重要な脆弱性が公開される事態は、企業のセキュリティ体制に大きな影響を与える
Microsoftは6月のパッチリリースで、研究者Nightmare Eclipseが公開した2つの高深刻度ゼロデイ脆弱性を修正した。この研究者は同社との取り決めが破られたとして、実証コード付きで複数の脆弱性を公開していた。CVE-2026-45586とMiniPlasmaの修正が含まれている。
Microsoftは6月のセキュリティ更新で、研究者Nightmare Eclipseによって公開された2つの高深刻度ゼロデイ脆弱性の修正を行った。この研究者は最近数カ月間、実証コード付きで複数の脆弱性を公開しており、同社との間で緊張関係が続いている。研究者は3月に「彼らは合意に違反し、私を何もない状態で見捨てた」と述べ、脆弱性開示は双方の取り決めが破られた結果だと主張している。修正されたのはCVE-2026-45586で、これは5月にGreenPlasmaという名前で公開されたローカル権限昇格の脆弱性。Microsoftによると、この脆弱性は悪用の複雑性が最小限で、ユーザーの操作を必要とせず、野生での積極的な悪用の可能性が高いとされる。原因はWindows Collaborative Translation Frameworkでの「不適切なリンク解決」。もう1つのMiniPlasmaは、6年前に修正済みのCVE-2020-17103の回帰または不完全な修正によるもの。研究者が公開した他の脆弱性については、BitLocker暗号化を破るYellowKeyについて手動の軽減策が提供されているが、根本的な修正はまだ行われていない。Windows DefenderのRedSunやローカル権限昇格のBlueHammerなど、他の脆弱性の状況も不明確な状態が続いている。