Windows-Lücke: Microsoft rügt Entdecker - Der schießt scharf zurück
Ein einzelner Sicherheitsforscher hatte in den vergangenen Wochen ganze sechs Windows-Schwachstellen öffentlich gemacht. Microsoft kritisiert den Entdecker nun scharf. Der wittert Rufschädigung und wehrt sich vehement.
Der Entwickler, der zuvor als Chaotic Eclipse bekannt war und jetzt als Nightmare Eclipse auftritt, veröffentlichte neben YellowKey noch insgesamt fünf weitere Schwachstellen unter Windows wie BlueHammer und RedSun, da er unzufrieden mit dem Umgang des Microsoft Security Response Centers mit seinen Meldungen war.
Auf seinem Blog weist Nightmare Eclipse die Anschuldigungen entschieden zurück. Der Forscher sieht in den Aussagen des Konzerns sogar eine Rufschädigung. Er gibt an, dass Microsoft seinen Zugang zum Microsoft Security Response Center absichtlich gesperrt und anschließend gelöscht habe. Über das Konto hatte er die Schwachstellen zuvor gemeldet. Mehrere Bitten um eine Erklärung seien von Microsoft ignoriert worden, weshalb er sich gezwungen sah, die Fehler direkt öffentlich zu dokumentieren.
Nightmare Eclipse kritisierte bereits in der Vergangenheit den Umgang von Microsoft mit unabhängigen Forschern. Neben der reinen Dokumentation von Fehlern betonte er stets die Bedeutung offener Kommunikation. Sein aktuelles Pseudonym wählte er nach eigenen Angaben, um den frustrierenden Prozess der Fehlerbehebung bei großen Technologiekonzernen zu verdeutlichen.
Wie bewertet ihr das Vorgehen von Microsoft und dem Sicherheitsforscher? Teilt uns eure Meinung zu dem Konflikt mit. Auf welcher Seite steht ihr?
Download VeraCrypt - Quelloffener TrueCrypt-Nachfolger
Siehe auch:
Streit um geschlossene Windows-Lücke
Microsoft hat einen vorläufigen Fix für die als YellowKey bekannte Schwachstelle in Windows 11 sowie Windows Server 2022 und 2025 veröffentlicht. Der Fehler mit der Kennung CVE-2026-45585 ermöglichte es Angreifern, die BitLocker-Verschlüsselung über die Windows-Wiederherstellungsumgebung (WinRE) zu umgehen. Während das Unternehmen nun ein Skript zur Absicherung bereitstellt, eskaliert der Konflikt mit dem Entdecker der Lücke, der sich gegen Vorwürfe des Konzerns wehrt.Der Entwickler, der zuvor als Chaotic Eclipse bekannt war und jetzt als Nightmare Eclipse auftritt, veröffentlichte neben YellowKey noch insgesamt fünf weitere Schwachstellen unter Windows wie BlueHammer und RedSun, da er unzufrieden mit dem Umgang des Microsoft Security Response Centers mit seinen Meldungen war.
Kritik an Veröffentlichungspolitik
In seiner offiziellen Dokumentation zu YellowKey warf Microsoft dem Entdecker nun vor, durch die Veröffentlichung des Proof of Concept gegen die allgemein anerkannten Richtlinien zur koordinierten Offenlegung von Schwachstellen verstoßen zu haben. Für gewöhnlich werden Schwachstellen von Sicherheitsforschern nicht offengelegt, bis die betroffene Softwarefirma einen Fix entwickelt hat.Auf seinem Blog weist Nightmare Eclipse die Anschuldigungen entschieden zurück. Der Forscher sieht in den Aussagen des Konzerns sogar eine Rufschädigung. Er gibt an, dass Microsoft seinen Zugang zum Microsoft Security Response Center absichtlich gesperrt und anschließend gelöscht habe. Über das Konto hatte er die Schwachstellen zuvor gemeldet. Mehrere Bitten um eine Erklärung seien von Microsoft ignoriert worden, weshalb er sich gezwungen sah, die Fehler direkt öffentlich zu dokumentieren.
Verdacht auf Hintertür
Abseits dieses Konflikts sorgt ein Detail der YellowKey-Schwachstelle unter Sicherheitsexperten für anhaltende Diskussionen. So vermutet Nightmare Eclipse aufgrund seines Fundes, dass Microsoft absichtlich eine Hintertür in BitLocker integriert haben könnte. Er begründet den Verdacht damit, dass die fehlerhafte Komponente nur in offiziellen WinRE-Abbildern existiere, die Umgehung in normalen Installationsdateien jedoch nicht funktioniere. Ältere Systeme mit Windows 10 sind von dem Fehler zudem nicht betroffen.Nightmare Eclipse kritisierte bereits in der Vergangenheit den Umgang von Microsoft mit unabhängigen Forschern. Neben der reinen Dokumentation von Fehlern betonte er stets die Bedeutung offener Kommunikation. Sein aktuelles Pseudonym wählte er nach eigenen Angaben, um den frustrierenden Prozess der Fehlerbehebung bei großen Technologiekonzernen zu verdeutlichen.
Wie bewertet ihr das Vorgehen von Microsoft und dem Sicherheitsforscher? Teilt uns eure Meinung zu dem Konflikt mit. Auf welcher Seite steht ihr?
Download VeraCrypt - Quelloffener TrueCrypt-Nachfolger
Zusammenfassung
- Konflikt zwischen Microsoft und Nightmare Eclipse eskaliert
- Sicherheitsforscher hatte sechs Windows-Schwachstellen veröffentlicht
- Microsoft kritisiert Vorgehen des Entdeckers als Verstoß gegen Regeln
- Forscher war mit Umgang seiner Meldungen durch das Unternehmen unzufrieden
- YellowKey-Schwachstelle CVE-2026-45585 ermöglichte BitLocker-Umgehung
- Betroffen waren Windows 11 sowie Windows Server 2022 und Windows Server 2025
- Nightmare Eclipse vermutet absichtliche Hintertür von Microsoft
Siehe auch:
- Microsoft startet Abwehr des "YellowKey"-Windows-Zero-Day-Angriffs
- Windows 11: Fehler 0x80010002 verhindert seit Monaten alle Updates
- Windows 11 Fehler 0x800f0922: Microsoft startet Known Issue Rollback
- Windows 11: Copilot-Taste bald wieder als Strg-Taste nutzbar
- Windows 11: Neuer "SecureBoot"-Ordner nach April-Update ist harmlos
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Windows & Sonstige:
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen