11 คะแนน โดย recast7838 2026-05-30 | 7 ความคิดเห็น | แชร์ทาง WhatsApp

หลังไมโครซอฟท์บล็อกบัญชี GitHub ของนักวิจัยด้านความปลอดภัยที่เปิดเผยช่องโหว่ซีโร่เดย์ที่ยังไม่ได้แพตช์ต่อสาธารณะโดยไม่ได้รับอนุญาต บริษัทก็ออกมาตอบโต้รุนแรง ขณะที่นักวิจัยรายดังกล่าวประกาศว่าจะเปิดโปงเพิ่มเติม ทำให้ความขัดแย้งยิ่งทวีความรุนแรง


แปลเนื้อหาฉบับเต็ม

ไมโครซอฟท์ระบุว่าบริษัทยืนหยัดสนับสนุนกระบวนการเปิดเผยช่องโหว่แบบประสานงานร่วมกัน (CVD) อย่างแข็งขัน และเรียกร้องให้ชุมชนนักวิจัยความปลอดภัยแบ่งปันสิ่งที่ค้นพบ พร้อมมอบโอกาสให้ผู้จำหน่ายที่ได้รับผลกระทบได้ทำความเข้าใจและแก้ไขช่องโหว่ก่อนที่จะมีการเปิดเผยต่อสาธารณะ

เหตุการณ์ครั้งนี้เริ่มต้นขึ้นหลังนักวิจัยที่ใช้ชื่อว่า 'Chaotic Eclipse' (หรือที่รู้จักในชื่อ Nightmare-Eclipse) เปิดเผยรายละเอียดของช่องโหว่ซีโร่เดย์หลายรายการที่กระทบต่อองค์ประกอบต่าง ๆ ของ Windows รวมถึง Defender และ BitLocker ตลอดเดือนที่ผ่านมา โดยให้เหตุผลว่าไมโครซอฟท์มีข้อบกพร่องในกระบวนการจัดการช่องโหว่

ไมโครซอฟท์ระบุว่า "ในช่วงไม่กี่สัปดาห์ที่ผ่านมา มีการเปิดเผยช่องโหว่ซีโร่เดย์หลายรายการต่อสาธารณะ" และ "รายละเอียดของช่องโหว่เหล่านี้ไม่ได้ถูกแชร์กับไมโครซอฟท์ก่อนการเปิดเผย ส่งผลให้ลูกค้าของเราต้องเผชิญความเสี่ยงโดยไม่จำเป็น" พร้อมเสริมว่า "เพื่อตอบสนองต่อความเสี่ยงที่เกิดจากการเปิดเผยโดยไม่ได้รับอนุญาต ทีมความปลอดภัยของเรากำลังทำงานตลอด 24 ชั่วโมงเพื่อประเมินผลกระทบ ปกป้องลูกค้า และพัฒนาอัปเดตความปลอดภัย"

ช่องโหว่ที่ถูกเปิดเผยมีทั้งหมด 6 รายการ ได้แก่ BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), Undefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma และ MiniPlasma โดยในจำนวนนี้ 3 รายการ ได้แก่ BlueHammer, RedSun และ Undefend กำลังถูกนำไปใช้โจมตีอย่างจริงจังในสภาพแวดล้อมจริงแล้ว {p:50}

ไมโครซอฟท์ระบุว่าบริษัท "คัดค้านอย่างหนักแน่น" ต่อการเปิดเผยช่องโหว่โดยไม่มีการประสานงานเช่นนี้ พร้อมเตือนว่าหากโค้ดพิสูจน์แนวคิด (PoC) ของช่องโหว่ที่ยังไม่ได้แพตช์ตกไปอยู่ในมือของผู้ไม่หวังดี อาจนำไปสู่ "ผลกระทบร้ายแรงในโลกความเป็นจริง" นอกจากนี้บริษัทยังระบุว่า "เรายินดีรับฟังมุมมองที่หลากหลายเพื่อให้ชุมชนความปลอดภัยสามารถร่วมมือกันปกป้องทุกคนได้ แม้เราอาจไม่เห็นตรงกันในทุกเรื่องเสมอไป แต่เราสัญญาว่าจะรักษาความโปร่งใสและเดินหน้าสร้างโอกาสในการพูดคุยต่อไป" และย้ำว่า "บทสนทนาเหล่านี้เกิดขึ้นผ่านงานขอบคุณนักวิจัย งานประชุมด้านความปลอดภัย และการทำงานร่วมกันทุกวันเพื่อทำความเข้าใจและแก้ไขช่องโหว่"

จากผลกระทบของการเปิดเผยโดยไม่ได้รับอนุญาตนี้ มีรายงานว่า GitHub ได้ปิดบัญชีของนักวิจัยรายดังกล่าวเมื่อสัปดาห์ที่แล้ว หลังจากนั้นโค้ด exploit สำหรับช่องโหว่ทั้ง 6 รายการถูกอัปโหลดขึ้น GitLab อีกครั้ง แต่บัญชี GitLab ที่สร้างใหม่ก็มาถูกบล็อกเช่นกันในตอนนี้

นักวิจัยรายนี้ยังอ้างในโพสต์เมื่อสุดสัปดาห์ว่า "สรุปก็คือ ตอนที่ผมพยายามขอสื่อสารอย่างจริงจัง พวกเขาปฏิเสธ ดูหมิ่นผม และทำให้ผมขายหน้าอย่างเปิดเผยต่อหน้าคนอื่น" พร้อมกล่าวต่อว่า "พวกคุณลบบัญชีไมโครซอฟท์ที่ผมใช้รายงานบั๊กทิ้งไปทั้งหมด แล้วก็ยังทำลายชื่อเสียงของผมต่อสาธารณะผ่านประกาศความปลอดภัย CVE-2026-45585 อีก ผมทำงานให้อย่างเต็มใจเหมือนคนโง่โดยไม่ได้รับเงินสักแดง แล้วตอนนี้ยังจะได้อภิสิทธิ์ลบบัญชี GitHub ของผมให้หายไปต่อหน้าสาธารณะอีกงั้นหรือ? พวกคุณกำลังพิสูจน์ให้ทุกคนเห็นว่ากำลังยกระดับความขัดแย้งนี้อย่างแข็งขัน แต่ตอนนี้ผมเลิกอ้อนวอนแล้ว"

นักวิจัยรายนี้ยังประกาศด้วยว่าจะเปิดเผยบางอย่างในวันที่ 14 กรกฎาคม 2026 และกล่าวว่า "วันนั้นผมจะทำให้กระดูกของไมโครซอฟท์แตกเป็นเสี่ยง ๆ"

หนึ่งบรรทัดจากผู้เขียน

ดูเหมือนไมโครซอฟท์จะไม่ใช่บริษัทที่เป็นมิตรอีกต่อไปแล้ว

7 ความคิดเห็น

 
aobamisaki 29 일 전

ถึงแม้ว่าช่วงนี้ Microsoft จะมีหลายเรื่องที่สมควรถูกวิจารณ์ก็ตาม แต่ผมก็รู้สึกว่าวิธีการกระทำของนักวิจัยคนนั้นเองก็รุนแรงและขาดความรับผิดชอบเกินไปหรือไม่เช่นกัน

โดยเฉพาะในเรื่องที่เกี่ยวกับความมั่นคงปลอดภัยของข้อมูล ไม่ว่าช่องโหว่ใดจะเร่งด่วนและร้ายแรงเพียงใด สุดท้ายมันก็เป็นประเด็นอ่อนไหวที่หากจัดการผิดพลาดก็อาจถูกนำไปใช้โจมตีแบบ zero-day ได้ในทันที ดังนั้นจึงจำเป็นต้องปฏิบัติตามหลักการและบรรทัดฐานที่วางไว้เกี่ยวกับเรื่องนี้อย่างเคร่งครัด และเมื่อพิจารณาว่าเขาได้ทำลายหลักการและบรรทัดฐานเหล่านั้นอย่างร้ายแรง ผมจึงคิดว่ายากที่จะให้การปกป้องหรือสนับสนุนเขาได้

 
wowfoot 29 일 전

ทั้งที่แจ้งช่องโหว่ไปแล้วแท้ๆ ก็ยังไม่ยอมแก้ไข.. Microsoft นี่สุดยอดจริงๆ ถึงขั้นทำให้นึกเลยว่าหรือกำลังปกป้องมันไว้เพื่อจะใช้ช่องโหว่นี้โจมตีเองกันแน่ ความคิดที่อยากย้ายไป Linux พุ่งขึ้นมาอย่างแรงเลย ถ้าไม่มีความสามารถพอจะแก้ไข ก็ควรขอความช่วยเหลือสิ ถ้าไม่อยากจ่ายเงินก็ต้องโดนถล่มบ้างแหละ.. ยังจะพยายามทำตัวเป็นผู้เสียเปรียบอีก

 
arton1234 29 일 전

ผมเป็นแค่มือสมัครเล่นครับ ก็แค่ทำสิ่งที่ผมต้องใช้ขึ้นมาแบบพอเหมาะพอควรในแต่ละตอนแล้วใช้งาน

  1. ตั้งแต่แรก Microsoft ถึงจะสนับสนุนสภาพแวดล้อมสำหรับนักพัฒนาอย่างมาก (รวมถึงเอกสารด้วย) แต่ก็ไม่ได้เป็นมิตรกับโอเพนซอร์สนัก

  2. หลังจาก Satya Nadella ขึ้นเป็น CEO ก็เริ่มมีท่าทีที่เป็นมิตรกับโอเพนซอร์สมากขึ้น เลยทำให้ผมชอบมากขึ้นด้วย หนึ่งในนั้นก็คือ WSL

  3. ผมเห็นด้วยว่า Microsoft ตอนนี้กำลังไปได้ไม่ดีนักในฝั่ง AI ไม่ว่าจะเป็น GitHub Copilot หรือ Copilot ที่รวมเข้ากับ OS ก็ตาม

  4. ไม่ว่าด้วยเหตุผลใดก็ตาม การเปิดเผยช่องโหว่ zero-day ทั้งที่ยังไม่มีการเตรียมการรับมือกับช่องโหว่นั้น ผมมองว่าคนที่เปิดเผยคือแฮ็กเกอร์ที่มีเจตนาร้าย การแฮ็กนั้นก็แค่หาช่องโหว่ให้เจอและใช้ประโยชน์จากมันได้ยากเท่านั้น แต่ถ้าโปรแกรมที่ผมสร้างถูกติดตั้งและรันโดยมีสิทธิ์ทั้งหมด ใคร ๆ ก็สามารถสร้างโปรแกรมอันตรายได้

ก่อนจะไปเถียงกันว่า Microsoft รับมือได้ดีหรือไม่ดี การเปิดเผยเรื่องนี้ทั้งที่ยังรับมือกับช่องโหว่ไม่ได้ ก็เป็นเพียงการก่อการร้ายทางไซเบอร์เท่านั้น

 
click 28 일 전

สำหรับผม ท่าทีของนักวิจัยท่านนี้ให้ความรู้สึกประมาณว่า
ช่องโหว่ที่ฉันค้นพบมันอันตรายขนาดไหนกัน แน่นอนว่าก็ควรระดมศักยภาพทั้งองค์กรมาเร่งจัดการเป็นลำดับแรกไม่ใช่เหรอ? ฟึดฟัดฟึดฟัด
อะไรทำนองนั้นนะ
ถ้าได้รับรายงานไปแล้วดองไว้เป็นปีโดยไม่ชี้แจง แบบนั้นก็เป็นปัญหาฝั่ง Microsoft เอง
แต่เพราะตอบสนองไม่เร็วอย่างที่ตัวเองพอใจเลยจะเปิดเผยช่องโหว่ใหม่ออกมาเสียเลย แบบนี้ดูใกล้เคียงกับ black hat มากกว่า white hat นะครับ

 
galaxy11111 29 일 전

ประท้วงได้แบบชวนให้โดนด่าเสียจริงนะคุณนักวิจัยท่านนี้

 
soulee 29 일 전

ผมเองก็รู้สึกเสียดายกับความเคลื่อนไหวล่าสุดของ Microsoft เช่นกัน

แต่ก็คิดว่าการกระทำของนักวิจัยก็เป็นปัญหาเหมือนกัน
โดยทั่วไปแล้ว สำหรับช่องโหว่ด้านความปลอดภัย มีธรรมเนียมว่านักวิจัยจะเปิดเผยได้หลังจากแจ้งให้ผู้ขายทราบแล้วครบ 90 วัน
อย่างที่นักพัฒนาหลายท่านคงทราบดีว่า แพตช์ความปลอดภัยที่เพิ่มเข้ามานอกเหนือจากงานเดิมย่อมต้องใช้เวลา
ดังนั้นจึงมีช่วงเวลาหน่วงการเปิดเผย 90 วันตามธรรมเนียม เพื่อให้สามารถประเมินความเสี่ยงและความสำคัญในช่วงเวลานั้น แล้วจัดการตามลำดับได้

ผมคิดว่าการเปิดเผยแบบไร้ความรับผิดชอบเช่นนี้ เป็นการทำให้ผู้ใช้จริงต้องเผชิญกับการโจมตีโดยไม่มีการป้องกัน มากกว่าจะเป็นการเล่นงาน Microsoft

 
comsect 29 일 전

ควรแยกแยะระหว่างการแสวงหาผลประโยชน์ส่วนตนกับการประชาสัมพันธ์เพื่อประโยชน์สาธารณะ หากใช้กลยุทธ์การตลาดที่อ้างประโยชน์สาธารณะ แต่ไม่ยอมรับผิดชอบต่อสาธารณะในระดับที่สมน้ำสมเนื้อ นั่นก็เท่ากับเป็นการหลอกล้อผู้ใช้

Master Bang-i