Microsoft hekelt onderzoeker over publicatie van YellowKey-lek in BitLocker

In dit artikel:

Microsoft uit kritiek op beveiligingsonderzoekers die kwetsbaarheden in Windows direct online zetten in plaats van eerst het bedrijf te waarschuwen. Volgens het bedrijf vergroten ongecoördineerde publicaties van fouten, waaronder recent ontdekte lekken zoals RedSun, UnDefend, BlueHammer, YellowKey (in BitLocker), GreenPlasma en MiniPlasma, de kans dat aanvallers misbruikmakende proof‑of‑conceptcode gebruiken, terwijl er nog geen patches beschikbaar zijn. Microsoft roept onderzoekers op de Coordinated Vulnerability Disclosure‑procedure (CVD) te volgen zodat leveranciers eerst updates kunnen ontwikkelen voordat details openbaar worden.

De onderzoeker die verantwoordelijk wordt gehouden voor YellowKey bestrijdt die kritiek en zegt Microsoft wél geïnformeerd te hebben; hij beschuldigt het bedrijf ervan zijn reputatie te schaden en kondigt aan op 14 juli met informatie te komen die Microsoft ernstig zou schaden. De kwestie onderstreept het spanningsveld tussen snelle openbaarmaking—waarmee sommige onderzoekers willen waarschuwen of druk zetten voor fixes—en de behoefte van leveranciers en gebruikers aan tijd om beveiligingslekken te dichten zonder aanvallers van handvatten te voorzien.