Terjebak dalam persaingan sengit dengan peneliti, Microsoft memperbaiki 0 hari yang mereka ungkapkan
Paket patch hari Selasa juga memperbaiki MiniPlasma, kerentanan terpisah yang diungkapkan oleh Nightmare Eclipse. Microsoft mengatakan melalui email bahwa kerentanan tersebut dilacak sebagai CVE-2020-17103, kerentanan yang pertama kali diperbaiki Microsoft enam tahun lalu. Artinya MiniPlasma merupakan hasil regresi atau patch yang tidak lengkap pada bentuk awalnya. Perusahaan sedang dalam proses memperbarui buletin hari Selasa untuk mencatat publikasi ulang tersebut. Microsoft belum merilis patch untuk kerentanan lain yang diungkapkan oleh Nightmare Eclipse. Perusahaan memang memberikan instruksi manual untuk memitigasi YellowKey, kerentanan yang memungkinkan penyerang mengalahkan enkripsi disk penuh Bitlocker. Hal ini bisa menjadi keuntungan ketika penyerang memiliki akses fisik ke perangkat (skenario persis yang dirancang untuk dilindungi oleh Bitlocker). Perusahaan belum memperbaiki penyebab utama kerentanan tersebut. Status kerentanan lain yang diungkapkan oleh Nightmare Eclipse juga masih belum jelas saat ini. Peneliti menyebutkan satu kerentanan yang ada di Windows Defender RedSun. Lainnya, bernama BlueHammer, juga merupakan kelemahan eskalasi hak istimewa lokal yang memberikan hak SISTEM. Selama beberapa bulan terakhir, Nightmare Eclipse telah mengambil banyak kesempatan di Microsoft. Kritik spesifiknya masih belum jelas, namun banyak yang merujuk pada keluhan mengenai program pengungkapan kerentanan perusahaan. Microsoft, sebaliknya, secara terbuka mencela peneliti tersebut karena “tidak bertanggung jawab” mengungkapkan kerentanan dan membuat referensi palsu tentang kemungkinan mengambil tindakan hukum. Setelah mendapat reaksi keras dari publik, Microsoft kemudian mengalah dan berjanji tidak akan melakukan tindakan hukum seperti itu. Pada hari Selasa, Nightmare Eclipse menerbitkan kode eksploitasi untuk kerentanan Windows baru. Ini adalah kondisi balapan yang menargetkan Defender. Batch patch hari Selasa mencakup perbaikan untuk sekitar 200 kerentanan. Meskipun MiniPlasma telah diperbaiki, dua di antaranya juga dikonfirmasi sebagai zero-day. Postingan diperbarui untuk menyertakan informasi yang disediakan Microsoft setelah publikasi awal postingan ini.
Diterbitkan : 2026-06-09 20:56:00
sumber : arstechnica.com
