11 पॉइंट द्वारा recast7838 2026-05-30 | 7 टिप्पणियां | WhatsApp पर शेयर करें

Microsoft ने बिना patch किए गए zero-day vulnerabilities को सार्वजनिक रूप से अनधिकृत तरीके से उजागर करने वाले एक security researcher पर कड़ी आपत्ति जताई है, और GitHub अकाउंट ब्लॉक होने के बाद उस researcher ने आगे और खुलासों की चेतावनी दी है, जिससे टकराव और गहरा गया है.


पूर्ण अनुवाद

Microsoft ने कहा कि वह coordinated vulnerability disclosure (CVD) process का मज़बूती से समर्थन करता है, और security research community से आग्रह किया कि वे अपनी खोजी गई जानकारी साझा करें ताकि प्रभावित vendors को vulnerabilities के सार्वजनिक होने से पहले उन्हें स्पष्ट रूप से समझने और ठीक करने का अवसर मिल सके.

यह घटनाक्रम 'Chaotic Eclipse' (उर्फ़ Nightmare-Eclipse) नाम के एक researcher द्वारा पिछले एक महीने में Microsoft की vulnerability handling process की कमियों का हवाला देते हुए Defender और BitLocker सहित Windows के विभिन्न components को प्रभावित करने वाली कई zero-day vulnerabilities की details सार्वजनिक करने के बाद शुरू हुआ.

Microsoft ने कहा, "हाल के हफ्तों में कई zero-day vulnerabilities सार्वजनिक की गई हैं," और "इन vulnerabilities की details सार्वजनिक होने से पहले Microsoft के साथ साझा नहीं की गईं, जिससे हमारे customers अनावश्यक जोखिम के संपर्क में आए." कंपनी ने आगे कहा, "अनधिकृत खुलासे से पैदा हुए जोखिमों से निपटने के लिए हमारी security teams प्रभाव का आकलन करने, customers की रक्षा करने और security updates विकसित करने के लिए 24 घंटे काम कर रही हैं."

सार्वजनिक की गई vulnerabilities कुल 6 हैं: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), Undefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma, और MiniPlasma. इनमें से BlueHammer, RedSun, और Undefend सहित 3 vulnerabilities {p:50} पहले से ही वास्तविक वातावरण में सक्रिय रूप से दुर्भावनापूर्ण हमलों में exploit की जा रही हैं.

Microsoft ने कहा कि वह इस तरह के uncoordinated vulnerability disclosure का "दृढ़ता से" विरोध करता है, और चेतावनी दी कि अगर unpatched vulnerabilities का proof-of-concept (PoC) code दुर्भावनापूर्ण actors के हाथ लग गया तो इसके "वास्तविक दुनिया में गंभीर परिणाम" हो सकते हैं. कंपनी ने यह भी कहा, "हम अलग-अलग दृष्टिकोणों का स्वागत करते हैं ताकि security community मिलकर सभी की सुरक्षा कर सके. हम हर मुद्दे पर हमेशा सहमत नहीं होंगे, लेकिन transparency बनाए रखने और संवाद के अवसर जारी रखने का वादा करते हैं," और ज़ोर देकर कहा, "ऐसी बातचीत researcher appreciation events, security conferences, और vulnerabilities को समझने व सुलझाने के लिए हर दिन साथ किए जाने वाले काम के दौरान होती है."

बताया गया है कि इस अनधिकृत खुलासे के असर के चलते GitHub ने पिछले हफ्ते उस researcher का अकाउंट बंद कर दिया. इसके बाद 6 vulnerabilities का exploit code फिर से GitLab पर अपलोड किया गया, लेकिन नया बनाया गया GitLab अकाउंट भी इस समय block है.

उस researcher ने सप्ताहांत में पोस्ट किए गए एक संदेश में दावा किया, "संक्षेप में कहें तो, जब मैंने सक्रिय रूप से संवाद का अनुरोध किया, तब मुझे ठुकराया गया, अपमानित किया गया, और लोगों के सामने खुलकर बेइज़्ज़त किया गया." उसने आगे कहा, "जिस Microsoft अकाउंट का इस्तेमाल मैंने bug report करते समय किया था, उसे पूरी तरह हटा दिया गया, और फिर CVE-2026-45585 security advisory के ज़रिये सार्वजनिक रूप से मेरी प्रतिष्ठा को नुकसान पहुँचाया गया. मैं बिना एक पैसा लिए मूर्ख की तरह खुशी-खुशी काम करता रहा, और अब आप मेरे GitHub अकाउंट को भी flag करके मुझे सार्वजनिक रूप से बिना निशान मिटा देना चाहते हैं? आप सबको साबित कर रहे हैं कि आप इस टकराव को सक्रिय रूप से बढ़ा रहे हैं. लेकिन अब मैं गिड़गिड़ाना बंद कर चुका हूँ."

उस researcher ने यह भी कहा कि वह 14 जुलाई 2026 को कुछ सार्वजनिक करने वाला है, और चेतावनी दी, "उस दिन मैं Microsoft की हड्डियाँ तक तोड़ दूँगा."

लेखक की एक पंक्ति

अब Microsoft शायद पहले जैसा friendly company नहीं लगता

7 टिप्पणियां

 
aobamisaki 2026-05-31

भले ही Microsoft के हालिया कदमों में आलोचना के कई कारण हों, फिर भी मुझे लगता है कि उस शोधकर्ता के व्यवहार का तरीका भी कुछ ज़्यादा ही उग्र और गैर-जिम्मेदाराना नहीं था।

खासकर information security के मामले में, कोई खास vulnerability कितनी भी तत्काल और गंभीर क्यों न हो, आखिरकार वह एक संवेदनशील विषय है जिसे गलत तरीके से संभालने पर तुरंत zero-day attack में दुरुपयोग किया जा सकता है। इसलिए इस विषय में स्थापित सिद्धांतों और मानकों का सख्ती से पालन करना ही चाहिए था, और मुझे लगता है कि उन सिद्धांतों और मानकों को गंभीर रूप से तोड़ देने के कारण इस कदम का बचाव या समर्थन करना मुश्किल है।

 
wowfoot 2026-05-31

कमज़ोरी के बारे में बताया गया, फिर भी उसे ठीक नहीं किया गया.. Microsoft कमाल है। यह सोच तक आने लगती है कि शायद वे इस कमज़ोरी का इस्तेमाल करके हमला करने वालों की रक्षा कर रहे हैं। Linux पर जाने का मन बहुत ज़्यादा हो रहा है। अगर ठीक करने की क्षमता नहीं है, तो मदद माँगना ही सही है। पैसे देना नहीं चाहते, तो आलोचना झेलनी चाहिए.. अब कमज़ोर होने का दिखावा भी कर रहे हैं।

 
arton1234 2026-05-31

मैं पहले से ही एक amateur हूँ। बस जब-जब ज़रूरत पड़ती है, अपने काम की चीज़ें जैसे-तैसे बनाकर इस्तेमाल करता हूँ.

  1. शुरू से ही Microsoft डेवलपर्स को development environment (documentation सहित) के लिए बहुत सपोर्ट देता रहा है। फिर भी वह open source-friendly नहीं था।

  2. Satya Nadella के CEO बनने के बाद, उसने open source-friendly कदम दिखाने शुरू किए, जिससे उसके प्रति और अच्छा लगा। उनमें से एक WSL है।

  3. मैं इस बात से सहमत हूँ कि Microsoft इस समय AI क्षेत्र में बुरी तरह जूझ रहा है। चाहे GitHub Copilot हो या OS में integrated Copilot।

  4. किसी भी वजह से, zero-day vulnerability के लिए कोई तैयारी न होने की स्थिति में उस vulnerability को सार्वजनिक करना, मेरे हिसाब से उसे सार्वजनिक करने वाला व्यक्ति एक malicious hacker है। Hacking में मुश्किल यह होती है कि vulnerability को ढूँढना और उसका फायदा उठाना कठिन होता है। लेकिन अगर मेरे बनाए प्रोग्राम को install और run करते समय सारे permissions मिल जाएँ, तो कोई भी malicious program बना सकता है।

Microsoft ने ठीक से response दिया या नहीं, यह बहस करने से पहले, vulnerability के लिए तैयारी न होने के बावजूद उसे सार्वजनिक करना, सिर्फ cyber terrorism है

 
click 2026-06-01

मुझे तो इस शोधकर्ता का रवैया कुछ ऐसा लगा: मैंने इतनी खतरनाक vulnerability खोजी है, तो जाहिर है कि पूरी कंपनी की क्षमता लगाकर इसे सबसे पहले handle करना चाहिए, है ना? हुंह हुंह
ऐसा ही महसूस होता है।
अगर रिपोर्ट मिलने के बाद बिना किसी स्पष्टीकरण के इसे एक-एक साल तक दबाकर रखा गया हो, तो समस्या Microsoft की तरफ है,
लेकिन सिर्फ इसलिए कि response उसकी पसंद की speed से नहीं आया, एक नई vulnerability यूँ ही public कर दूँगा — यह white hacker से ज़्यादा black hacker के करीब लगता है।

 
galaxy11111 2026-05-31

वो शोधकर्ता सच में ऐसा विरोध करने का ऐसा तरीका चुन रहे हैं कि लोग उन्हें खूब कोसें।

 
soulee 2026-05-31

माइक्रोसॉफ्ट के हालिया कदमों को लेकर मुझे भी अफसोस है। लेकिन मुझे लगता है कि शोधकर्ता का व्यवहार भी समस्या है।

आम तौर पर security vulnerability को vendor को रिपोर्ट करने के बाद 90 दिन बीतने पर ही शोधकर्ता उसे सार्वजनिक कर सकता है, ऐसी एक प्रचलित परंपरा है।
डेवलपर्स जानते होंगे कि मौजूदा काम के ऊपर जुड़ने वाले security patches में समय लगना स्वाभाविक है। इसलिए उस अवधि के दौरान जोखिम और महत्व का आकलन करके उन्हें क्रम से संभाला जा सके, इसी वजह से परंपरागत रूप से 90 दिनों की disclosure grace period बनी है।

इस तरह गैर-जिम्मेदाराना ढंग से इसे सार्वजनिक कर देना, मुझे लगता है कि माइक्रोसॉफ्ट से भी ज़्यादा वास्तविक उपयोगकर्ताओं को बिना सुरक्षा के हमलों के सामने छोड़ने वाला कदम है।

 
comsect 2026-05-31

निजी हित साधना और जनहित के नाम पर की जाने वाली प्रचार-प्रसार गतिविधि में स्पष्ट अंतर होना चाहिए। अगर कोई जनहितकारी marketing technique का उपयोग करता है, लेकिन उसके अनुरूप जनहित की जिम्मेदारी नहीं उठाता, तो यह उपयोगकर्ताओं का मज़ाक उड़ाना है। Master Bang-i