11 poin oleh recast7838 2026-05-30 | 7 komentar | Bagikan ke WhatsApp

Konflik memanas setelah Microsoft bereaksi keras terhadap peneliti keamanan yang secara sepihak memublikasikan kerentanan zero-day yang belum ditambal, lalu memblokir akun GitHub-nya, dan peneliti tersebut mengisyaratkan akan ada pengungkapan tambahan.


Terjemahan lengkap

Microsoft menyatakan dukungan kuatnya terhadap proses coordinated vulnerability disclosure (CVD), dan mendesak komunitas riset keamanan untuk membagikan temuan mereka serta memberi kesempatan kepada vendor yang terdampak untuk memahami dan memperbaiki kerentanan dengan jelas sebelum dipublikasikan ke publik.

Insiden ini bermula ketika seorang peneliti bernama 'Chaotic Eclipse' (alias Nightmare-Eclipse) selama sebulan terakhir memublikasikan ke publik detail sejumlah kerentanan zero-day yang memengaruhi berbagai komponen Windows, termasuk Defender dan BitLocker, dengan alasan buruknya proses penanganan kerentanan Microsoft.

Microsoft menyatakan, "Dalam beberapa minggu terakhir, beberapa kerentanan zero-day telah dipublikasikan ke publik," dan "detail kerentanan ini tidak dibagikan kepada Microsoft sebelum publikasi, sehingga pelanggan kami terekspos pada risiko yang tidak perlu." Mereka menambahkan, "Untuk merespons risiko yang timbul dari pengungkapan sepihak ini, tim keamanan kami bekerja tanpa henti sepanjang waktu untuk menilai dampaknya, melindungi pelanggan, dan mengembangkan pembaruan keamanan."

Kerentanan yang dipublikasikan berjumlah enam, yaitu BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma, dan MiniPlasma. Di antaranya, tiga kerentanan—termasuk BlueHammer, RedSun, dan UnDefend—{p:50} sudah aktif dieksploitasi dalam serangan berbahaya di lingkungan nyata.

Microsoft menegaskan pihaknya "dengan tegas" menentang pengungkapan kerentanan yang tidak terkoordinasi seperti ini, dan memperingatkan bahwa jika kode proof-of-concept (PoC) untuk kerentanan yang belum ditambal jatuh ke tangan pelaku jahat, hal itu dapat menimbulkan "konsekuensi serius di dunia nyata." Microsoft juga menambahkan, "Kami menyambut berbagai perspektif agar komunitas keamanan dapat bekerja sama melindungi semua pihak. Kami mungkin tidak selalu sepakat dalam setiap hal, tetapi kami berkomitmen menjaga transparansi dan terus membuka ruang dialog," serta menekankan bahwa "dialog semacam ini terjadi dalam acara apresiasi peneliti, konferensi keamanan, dan juga dalam pekerjaan harian yang kami lakukan bersama untuk memahami dan memperbaiki kerentanan."

Akibat dampak dari pengungkapan sepihak ini, GitHub dilaporkan menutup akun peneliti tersebut pekan lalu. Setelah itu, kode exploit untuk enam kerentanan tersebut kembali diunggah ke GitLab, tetapi akun GitLab baru yang dibuat itu juga kini telah diblokir.

Dalam postingan akhir pekan, peneliti tersebut mengklaim, "Singkatnya, ketika saya secara aktif meminta komunikasi, saya ditolak, dihina, dan dipermalukan terang-terangan di depan orang-orang." Ia melanjutkan, "Setelah sepenuhnya menghapus akun Microsoft yang saya gunakan untuk melaporkan bug, mereka lalu mencemarkan nama baik saya di depan publik melalui advisory keamanan CVE-2026-45585. Saya bekerja dengan senang hati seperti orang bodoh tanpa menerima sepeser pun, dan sekarang mereka bahkan menandai akun GitHub saya lalu menghapus jejak saya dari hadapan publik tanpa sisa? Kalian sedang membuktikan kepada semua orang bahwa kalian secara aktif memperuncing konflik ini. Tapi saya sudah selesai dengan tindakan memohon seperti ini."

Peneliti itu juga menyatakan akan memublikasikan sesuatu pada 14 Juli 2026, dan memperingatkan bahwa "pada hari itu saya akan membuat tulang Microsoft remuk berkeping-keping."

Catatan singkat penulis

Sepertinya Microsoft bukan lagi perusahaan yang ramah

7 komentar

 
aobamisaki 2026-05-31

Sebesar apa pun kritik yang layak diarahkan pada langkah Microsoft belakangan ini, saya juga merasa cara peneliti tersebut bertindak terkesan terlalu ekstrem dan tidak bertanggung jawab.

Khususnya dalam hal keamanan informasi, seberapa pun mendesak dan seriusnya suatu kerentanan, tetap saja itu bagian yang sensitif karena jika ditangani dengan keliru bisa langsung disalahgunakan untuk serangan zero-day, sehingga prinsip dan norma yang telah mapan terkait hal ini harus diikuti dengan ketat; dari sudut pandang bahwa ia telah merusak prinsip dan norma tersebut secara serius, saya rasa sulit untuk membela atau mendukung tindakannya.

 
wowfoot 2026-05-31

Mereka sudah diberi tahu soal kerentanannya tapi tetap tidak memperbaikinya.. hebat juga Microsoft. Sampai terpikir jangan-jangan mereka melindunginya agar bisa dipakai untuk menyerang. Keinginan untuk pindah ke Linux jadi makin besar. Kalau memang tidak mampu memperbaikinya, yang benar ya minta bantuan. Kalau tidak mau bayar, ya harus siap dihujani kritik.. malah berusaha berlagak sebagai pihak yang lemah

 
arton1234 2026-05-31

Saya hanya seorang amatir. Saya cuma membuat secukupnya sesuai kebutuhan saya saat itu dan memakainya.

  1. Sejak awal, Microsoft memang sangat mendukung para developer dengan lingkungan pengembangan mereka (termasuk dokumentasi). Namun, mereka bukan pihak yang ramah terhadap open source.

  2. Setelah Satya Nadella menjadi CEO, mereka menunjukkan langkah yang lebih ramah terhadap open source, dan itu membuat saya makin menyukainya. Salah satunya adalah WSL.

  3. Saya setuju bahwa Microsoft saat ini sedang kurang berhasil di bidang AI. Baik itu GitHub Copilot maupun Copilot yang terintegrasi ke OS.

  4. Apa pun alasannya, mempublikasikan kerentanan zero-day saat belum ada kesiapan terhadap kerentanan tersebut membuat saya menganggap orang yang mempublikasikannya sebagai peretas jahat. Dalam peretasan, yang sulit hanyalah menemukan kerentanan dan memanfaatkannya. Jika program yang saya buat bisa diinstal dan dijalankan dengan semua hak akses, siapa pun bisa membuat program berbahaya.

Sebelum memperdebatkan apakah Microsoft menanganinya dengan baik atau tidak, mempublikasikannya meski belum ada kesiapan terhadap kerentanan itu tidak lain adalah teror siber.

 
click 2026-06-01

Bagi saya, sikap peneliti ini terasa seperti
"Kerentanan yang saya temukan ini kan sangat berbahaya, jadi bukannya sudah sewajarnya mengerahkan seluruh kemampuan perusahaan dan menanganinya sebagai prioritas utama? Hmph, kesal."
Begitulah kesannya bagi saya.
Kalau setelah menerima laporan mereka mendiamkannya sampai setahun tanpa penjelasan, berarti memang ada masalah di pihak Microsoft,
tetapi kalau karena responsnya tidak secepat yang dia inginkan lalu dia begitu saja mempublikasikan kerentanan baru, itu lebih terlihat mendekati black hat daripada white hat.

 
galaxy11111 2026-05-31

Aksi protesnya benar-benar dibuat supaya gampang kena hujat ya, peneliti itu.

 
soulee 2026-05-31

Saya juga merasa kecewa dengan langkah terbaru Microsoft. Namun, saya juga berpikir tindakan penelitinya juga bermasalah.

Secara umum, ada praktik yang lazim bahwa kerentanan keamanan baru boleh diungkap oleh peneliti setelah 90 hari sejak dilaporkan ke vendor.
Para pengembang tentu tahu, patch keamanan yang ditambahkan di luar pekerjaan yang sudah ada memang tak bisa diselesaikan cepat. Karena itu, agar selama periode tersebut tingkat risiko dan prioritasnya bisa dinilai lalu ditangani secara berurutan, secara konvensional ada masa tunda pengungkapan selama 90 hari.

Menurut saya, mengungkapkannya secara tidak bertanggung jawab seperti ini, bahkan lebih daripada Microsoft, adalah tindakan yang membuat para pengguna nyata terekspos pada serangan tanpa perlindungan.

 
comsect 2026-05-31

Pengejaran kepentingan pribadi dan promosi demi kepentingan publik harus dibedakan. Jika menggunakan teknik pemasaran yang bersifat publik tetapi tidak memikul tanggung jawab publik yang sepadan, itu berarti mempermainkan pengguna. Master Bang-i