Microsoft, GitHub 연구원 계정 삭제 속에서 공개 Zero-Day 공개를 강하게 비난
Source: The Hacker News
Microsoft의 조정된 취약점 공개에 대한 입장
Microsoft는 조정된 취약점 공개(CVD)를 지속적으로 지원한다는 입장을 재확인했으며, 연구원들에게 공개 전에 벤더와 결과를 공유할 것을 촉구했습니다. 회사는 이 접근 방식이 벤더가 영향을 파악하고 완화책을 개발하도록 하여 고객 위험을 줄일 수 있다고 주장합니다.
“최근 몇 주 동안 여러 제로데이 취약점이 공개되었습니다,” Microsoft는 블로그 게시물에서 밝혔습니다. “이 취약점들의 세부 사항은 공개 전에 Microsoft와 공유되지 않았으며, 이러한 공개는 우리 고객에게 불필요한 위험을 초래했습니다.”
Zero‑day vulnerabilities disclosed
| 취약점 | CVE | 상태 |
|---|---|---|
| BlueHammer | CVE‑2026‑33825 | 활발히 악용됨 |
| RedSun | CVE‑2026‑41091 | 활발히 악용됨 |
| UnDefend | CVE‑2026‑45498 | 활발히 악용됨 |
| YellowKey | CVE‑2026‑45585 | 아직 악용되지 않음 |
| GreenPlasma | — | — |
| MiniPlasma | — | — |
원본 보도 링크
Microsoft의 응답
Microsoft는 “단호히” 비조정된 공개에 반대한다며, 패치되지 않은 취약점에 대한 개념 증명 코드를 공개하면 악의적인 행위자에게 넘어갔을 때 실제적인 영향을 미칠 수 있다고 경고했습니다.
회사는 보안 커뮤니티와의 대화에 대한 약속을 강조했습니다:
“우리는 보안 커뮤니티가 모두를 보호하기 위해 함께 협력하도록 돕는 다양한 관점을 초대합니다. 모든 사안에 대해 항상 동의하지는 않을 것임을 인식하고 있지만, 우리는 투명성을 고수하며 지속적으로 대화의 기회를 만들고 있습니다.”
Microsoft는 또한 보안 팀이 영향을 평가하고 고객을 보호하며 보안 업데이트를 개발하기 위해 “24시간 내내” 작업해 왔다고 밝혔습니다.
GitHub 계정 삭제
공개 이후, GitHub는 연구원의 계정을 삭제했습니다. 6개 취약점에 대한 익스플로잇 코드는 이후 GitLab에 업로드되었지만, 새로 만든 GitLab 계정 역시 차단되었습니다.
연구원의 반응
연구원은 마이크로소프트를 괴롭힘이라고 비난하고 추가 조치를 위협하는 답변을 게시했습니다:
“제가 정확히 이해하고 싶습니다. 제가 적극적으로 소통을 요청했을 때, 당신은 거부하고, 저를 굴욕감에 빠뜨렸으며, 사람들 앞에서 저를 모욕했습니다… 당신은 CVE‑2026‑45585 자문을 통해 공개적으로 저를 비방했는데, 그때 제가 버그를 보고하기 위해 사용한 마이크로소프트 계정을 문자 그대로 삭제했음에도 불구하고… 이제는 예의 있게 제 GitHub 계정을 플래그하고 공개적으로 삭제해버리겠다는 건가요? … 저는 2026년 7월 14일에 무언가를 공개할 예정이며, 그날 당신의 뼈가 산산조각 날 것입니다.”
Source