마이크로소프트, 연구자가 공개한 제로데이 취약점 수정
원제: Locked in heated rivalry with researcher, Microsoft fixes 0-day they disclosed
왜 중요한가
보안 연구자와 기업 간 취약점 공개 과정에서 발생하는 갈등이 사용자 보안에 미치는 영향을 보여주는 사례
마이크로소프트가 화요일 패치를 통해 Nightmare Eclipse라는 연구자가 공개한 두 개의 고위험 제로데이 취약점을 수정했다고 발표했다. 이 연구자는 최근 몇 달간 마이크로소프트와 갈등을 겪으며 여러 취약점을 공개해왔다.
마이크로소프트는 6월 9일 월례 보안 업데이트를 통해 CVE-2026-45586과 MiniPlasma 두 개의 고위험 제로데이 취약점을 수정했다. 이 취약점들은 Nightmare Eclipse라는 가명을 사용하는 보안 연구자가 공개한 것으로, 해당 연구자는 마이크로소프트와의 합의가 파기됐다고 주장하며 최근 몇 달간 여러 취약점을 연달아 공개해왔다. CVE-2026-45586은 Windows Collaborative Translation Framework의 부적절한 링크 해결 과정에서 발생하는 권한 상승 취약점으로, 마이크로소프트는 이 취약점이 낮은 복잡도로 악용 가능하며 사용자 상호작용 없이도 공격당할 수 있다고 밝혔다. MiniPlasma는 CVE-2020-17103으로 추적되는 취약점으로, 6년 전 수정됐던 문제가 재발한 것으로 확인됐다. 마이크로소프트는 아직 Nightmare Eclipse가 공개한 다른 취약점들에 대해서는 패치를 제공하지 않았으며, BitLocker 암호화를 우회할 수 있는 YellowKey 취약점에 대해서는 수동 완화 방법만 제시했다.