Nieuws
image

Microsoft hekelt onderzoeker over publicatie van YellowKey-lek in BitLocker

donderdag 28 mei 2026, 12:27 door Redactie, 21 reacties

Microsoft is niet te spreken over onderzoekers die kwetsbaarheden in Windows meteen op internet publiceren in plaats van eerst het techbedrijf te informeren, zoals het geval was met het YellowKey-lek in BitLocker. Volgens Microsoft zorgt dit voor onnodige risico's en brengt het Windows-gebruikers in gevaar. De onderzoeker achter het YellowKey-lek zegt dat hij het techbedrijf wel heeft geïnformeerd.

De afgelopen weken verschenen op internet meerdere kwetsbaarheden, zoals RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma en MiniPlasma. Op het moment van de publicatie waren er nog geen patches beschikbaar. Microsoft stelt dat deze beveiligingslekken niet op 'verantwoorde wijze' zijn gerapporteerd. "We verzetten ons tegen deze acties en elke publicatie buiten de juiste coördinatie om die onze klanten en het digitale ecosysteem kunnen schaden. Het ongecoördineerd openbaar maken waardoor proof-of-concept code voor ongepatchte kwetsbaarheden in handen van aanvallers komt is nooit gerechtvaardigd en heeft echte gevolgen", aldus Microsoft.

Het techbedrijf roept beveiligingsonderzoekers op om Coordinated Vulnerability Disclosure (CVD) te volgen, waarbij kwetsbaarheden eerst aan de leverancier worden gemeld, zodat die een update kan ontwikkelen. De beveiligingsonderzoeker achter onder andere YellowKey, GreenPlasma en MiniPlasma stelt dat hij Microsoft wel heeft ingelicht en dat het techbedrijf zijn reputatie schaadt door te beweren dat hij de CVD-richtlijn heeft overtreden. Tevens stelt de onderzoeker dat hij op 14 juli met informatie komt die zeer schadelijk voor Microsoft zal zijn.

Reacties (21)
Reageer met quote
28-05-2026, 12:32 door Named
Microsoft heeft een reputatie dat ze bug bounties weigeren uit te keren.
Ik denk dat deze beveiligingsonderzoeker het zat was om opgelicht te worden en dus zijn frustratie uit op een leuke manier.
Daarom kijk ik ook met veel plezier uit naar 14 juli!
Reageer met quote
28-05-2026, 12:38 door Anoniem
Microslop roept op voor rechtvaardigheid en hun "moral high ground"...
Misschien even alle telemetrie eruit zodat ze uw metadata niet meer kunnen verkopen aan derden, waaronder aan overheden en sleepwetten?
Misschien alle Microslop lobbypraktijken de wereld uithelpen?
Of zorgen dat Microslop mensen niet van jongs af aan afhankelijk worden van Microslop-producten?
Of de nep-goede doelen van veranderen in échte goede doelen zonder winstbejag?
En ga zo maar door... Zie ook https://youtu.be/OH4uh8cHuto
Reageer met quote
28-05-2026, 12:54 door Anoniem
Microsoft is verantwoordelijk voor de introductie van de bug. Steek de hand in eigen boezem in plaats van de boodschapper aan te vallen.
Reageer met quote
28-05-2026, 12:59 door Anoniem
Door Named: Microsoft heeft een reputatie dat ze bug bounties weigeren uit te keren.
Ik denk dat deze beveiligingsonderzoeker het zat was om opgelicht te worden en dus zijn frustratie uit op een leuke manier.
Daarom kijk ik ook met veel plezier uit naar 14 juli!
Ik ook. De enige die Windows-gebruikers in gevaar brengt is microsoft zelf!
Reageer met quote
28-05-2026, 13:34 door Anoniem
Het is een verdien-model en helemaal nu met AI,
dus alles gaat nu sneller,en men wordt ongeduldig,waar blijft mijn geld en is dan beledigt
vanwege het niet uitbetalen,of andere factoren,dan is dat de beveiligings-onderzoeker aan te rekenen
op zijn gedrag.

Dus in plaats van elkaar te helpen,elkaar te blijven respecteren en te informeren
over beveiligings risico's voor de "maatschappij" publiceren wij uit frustratie
maar deze kwetsbaarheden in Windows meteen op internet.

Nu loopt elke windows gebruiker dus meer risico,het gaat
om de digitale samenleving veilig te houden,daar gaat het om.

Deze beveiligings onderzoekers zijn nu gewoon verkeerd bezig.

Microsoft heeft gelijk

Wereld2026
Reageer met quote
28-05-2026, 13:52 door Anoniem
" Tevens stelt de onderzoeker dat hij op 14 juli met informatie komt die zeer schadelijk voor Microsoft zal zijn."

Losstaand van het welles/nietes spelletje tussen MS en "onderzoeker".

Kun je de quote niet opvatten als dreigement; iets of iemand bewust pogen schade te gaan toebrengen en hem daarmee "aanklagen" of "oppakken"?

Gekke wereld en welkom op deze wereld ...
Reageer met quote
28-05-2026, 14:05 door Anoniem
Door Anoniem: Het is een verdien-model en helemaal nu met AI,
dus alles gaat nu sneller,en men wordt ongeduldig,waar blijft mijn geld en is dan beledigt
vanwege het niet uitbetalen,of andere factoren,dan is dat de beveiligings-onderzoeker aan te rekenen
op zijn gedrag.

Dus in plaats van elkaar te helpen,elkaar te blijven respecteren en te informeren
over beveiligings risico's voor de "maatschappij" publiceren wij uit frustratie
maar deze kwetsbaarheden in Windows meteen op internet.

Nu loopt elke windows gebruiker dus meer risico,het gaat
om de digitale samenleving veilig te houden,daar gaat het om.

Deze beveiligings onderzoekers zijn nu gewoon verkeerd bezig.

Microsoft heeft gelijk

Wereld2026
Microsoft heeft helemaal niet gelijk. Wij mogen die prut niet eens gebruiken als je niet met hun voorwaarden akkoord gaat. Het is prut en dat zegt die beveiliger ook alleen iets specifieker. Microsoft gaat zelf over de kwaliteit en die beveiliger heeft geen contract met microsoft getekend.
Reageer met quote
28-05-2026, 14:09 door Erikje
Door Anoniem: Het is een verdien-model en helemaal nu met AI,
dus alles gaat nu sneller,en men wordt ongeduldig,waar blijft mijn geld en is dan beledigt
vanwege het niet uitbetalen,of andere factoren,dan is dat de beveiligings-onderzoeker aan te rekenen
op zijn gedrag.

Dus in plaats van elkaar te helpen,elkaar te blijven respecteren en te informeren
over beveiligings risico's voor de "maatschappij" publiceren wij uit frustratie
maar deze kwetsbaarheden in Windows meteen op internet.

Nu loopt elke windows gebruiker dus meer risico,het gaat
om de digitale samenleving veilig te houden,daar gaat het om.

Deze beveiligings onderzoekers zijn nu gewoon verkeerd bezig.

Microsoft heeft gelijk

Wereld2026
Je hebt echt geen idee he? Lees je aub eerst even in, voordat je jezelf totaal voor paal zet.
Reageer met quote
28-05-2026, 15:09 door Anoniem
Door Anoniem:
Microsoft heeft helemaal niet gelijk. Wij mogen die prut niet eens gebruiken als je niet met hun voorwaarden akkoord gaat.

Goh, lijkt de GPL wel, die software mag ik ook niet gebruiken in mijn product als ik niet aan de voorwaarden voldoe.
Reageer met quote
28-05-2026, 15:15 door linuxpro
Goh, wie had dat nou verwacht, mickeysoft die t aan het licht brengen van de zoveelste security screw up niet leuk vind. Nee, Apple of Linux kwetsbaarheden publiceren vinden ze natuurlijk veel leuker. Stel lutsers
Reageer met quote
28-05-2026, 15:47 door e.r.
Laat ze maar komen met bewijs dat het niet 41+ maanden geleden is ingediend. Ik hoor ze trouwens nergens iets zeggen over wanneer ze denken dat het wèl ingediend was. Toeval?
Reageer met quote
28-05-2026, 15:49 door Anoniem
Exploit gepost naar Github. Zijn account wordt verwijderd. Eigenaar van Github, wie durft een gokje te wagen?
Reageer met quote
28-05-2026, 16:33 door Anoniem
Benieuwd of het “works as designed” was.
Reageer met quote
28-05-2026, 17:28 door Anoniem
Door Anoniem: Exploit gepost naar Github. Zijn account wordt verwijderd. Eigenaar van Github, wie durft een gokje te wagen?
Sinds MS daar de baas is zijn wij overgestapt naar GitLab maar wel weer inhuis.
Reageer met quote
28-05-2026, 17:46 door Anoniem
Bij deze de ontbrekende bron van de onderzoeker zelf. https://deadeclipse666.blogspot.com/2026/05/july-14th.html

De onderzoeker had dus eerder melding gemaakt waarop vervolgens Microsoft het gekoppelde account had uitgeschakeld er is nu een publiekelijk uitgevochten ruzie gaande.

Van beide kanten valt wel wat te zeggen maar ongeacht het beleid dat gevoerd is en of je daar eens mee bent de taal gebruik is juridisch een probleem voor die onderzoeker. Te veel emoties in het spel dat moge duidelijk zijn.
Reageer met quote
28-05-2026, 19:12 door Anoniem
Door Anoniem: Benieuwd of het “works as designed” was.
Waarschijnlijk wel, maar dat zullen ze ontkennen.
Reageer met quote
28-05-2026, 22:21 door Anoniem
Door Anoniem:
Door Anoniem:
Microsoft heeft helemaal niet gelijk. Wij mogen die prut niet eens gebruiken als je niet met hun voorwaarden akkoord gaat.

Goh, lijkt de GPL wel, die software mag ik ook niet gebruiken in mijn product als ik niet aan de voorwaarden voldoe.
Zoals een staafmixer op een F35 lijkt omdat er bij allebei een motor in zit, bedoel je? Het zijn wezenlijk verschillende licenties.
Reageer met quote
Gisteren, 12:59 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Microsoft heeft helemaal niet gelijk. Wij mogen die prut niet eens gebruiken als je niet met hun voorwaarden akkoord gaat.

Goh, lijkt de GPL wel, die software mag ik ook niet gebruiken in mijn product als ik niet aan de voorwaarden voldoe.
Zoals een staafmixer op een F35 lijkt omdat er bij allebei een motor in zit, bedoel je? Het zijn wezenlijk verschillende licenties.

Probeer eens je school af te maken.
De overeenkomst is dat je bij beiden je te houden hebt aan de licenties/gebruikersvoorwaarden van de maker .

Die kunnen heel verschillend zijn , dat klopt , maar er was een totale nono die het verschrikkelijk vond dat ie iets niet mag gebruiken zonder akkoord te gaan met de gebruiksvoorwaarden van de leverancier . Tsja, dat geldt dus ook als de leverancier iets onder GPL uitbrengt - de voorwaarden zijn anders, maar je moet je er wel aan houden.

Ik weet eigenlijk niet wat voor garantie je krijgt op een F35, maar de kans is reeel dat daar net als bij een staafmixer dingen in staan waarbij de garantie vervalt als je 'm oneigenlijk gebruikt.
Reageer met quote
Gisteren, 14:20 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Microsoft heeft helemaal niet gelijk. Wij mogen die prut niet eens gebruiken als je niet met hun voorwaarden akkoord gaat.

Goh, lijkt de GPL wel, die software mag ik ook niet gebruiken in mijn product als ik niet aan de voorwaarden voldoe.
Zoals een staafmixer op een F35 lijkt omdat er bij allebei een motor in zit, bedoel je? Het zijn wezenlijk verschillende licenties.

Probeer eens je school af te maken.
De overeenkomst is dat je bij beiden je te houden hebt aan de licenties/gebruikersvoorwaarden van de maker .

Die kunnen heel verschillend zijn , dat klopt , maar er was een totale nono die het verschrikkelijk vond dat ie iets niet mag gebruiken zonder akkoord te gaan met de gebruiksvoorwaarden van de leverancier . Tsja, dat geldt dus ook als de leverancier iets onder GPL uitbrengt - de voorwaarden zijn anders, maar je moet je er wel aan houden.

Ik weet eigenlijk niet wat voor garantie je krijgt op een F35, maar de kans is reeel dat daar net als bij een staafmixer dingen in staan waarbij de garantie vervalt als je 'm oneigenlijk gebruikt.
Onvergelijkbaar. GPL is een copyleft-licentie voor opensourcesoftware. Dat staat loodrecht op de microsoft licenties.
Je hoeft er niet actief mee akkoord te gaan middels een vinkje zoals bij die MS prut.
Je kunt de software vrij gebruiken, aanpassen en verspreiden, maar alle afgeleide werken moeten onder dezelfde copyleft-licentie worden uitgebracht. Dit zorgt ervoor dat de software open en gratis blijft voor iedereen. Nogal een verschil he. Zo iet als je hoort de wet te kennen. Daar heb je geen omkijken naar. MS zou elke dag vragen ga je akkoord met de wet?
Reageer met quote
Gisteren, 15:25 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Microsoft heeft helemaal niet gelijk. Wij mogen die prut niet eens gebruiken als je niet met hun voorwaarden akkoord gaat.

Goh, lijkt de GPL wel, die software mag ik ook niet gebruiken in mijn product als ik niet aan de voorwaarden voldoe.
Zoals een staafmixer op een F35 lijkt omdat er bij allebei een motor in zit, bedoel je? Het zijn wezenlijk verschillende licenties.

Probeer eens je school af te maken.
De overeenkomst is dat je bij beiden je te houden hebt aan de licenties/gebruikersvoorwaarden van de maker .

Die kunnen heel verschillend zijn , dat klopt , maar er was een totale nono die het verschrikkelijk vond dat ie iets niet mag gebruiken zonder akkoord te gaan met de gebruiksvoorwaarden van de leverancier . Tsja, dat geldt dus ook als de leverancier iets onder GPL uitbrengt - de voorwaarden zijn anders, maar je moet je er wel aan houden.

Ik weet eigenlijk niet wat voor garantie je krijgt op een F35, maar de kans is reeel dat daar net als bij een staafmixer dingen in staan waarbij de garantie vervalt als je 'm oneigenlijk gebruikt.
Onvergelijkbaar. GPL is een copyleft-licentie voor opensourcesoftware. Dat staat loodrecht op de microsoft licenties

Totaal vergelijkbaar : je moet je aan de inhoud van de licentie houden, anders mag je de software niet gebruiken.


Misschien staat de ene inhoud jou wel aan, en de andere niet, maar in beide geldt (op basis van dezelfde wetgeving) : de maker stelt de voorwaarden.


Je hoeft er niet actief mee akkoord te gaan middels een vinkje zoals bij die MS prut.
Je kunt de software vrij gebruiken, aanpassen en verspreiden, maar alle afgeleide werken moeten onder dezelfde copyleft-licentie worden uitgebracht. Dit zorgt ervoor dat de software open en gratis blijft voor iedereen. Nogal een verschil he. Zo iet

Bla bla oogklep.


Als ik dat nu niet wil, en GPL in een gesloten product wil gebruiken MAG DAT NIET.

Omdat de maker die licentie gekozen heeft . En dan kan ik (net als die domme nono) gaan jammeren dat ik iets niet mag van de maker , of gewoon volwassen zijn en zeggen dat de licentie niet past bij wat ik wil, en een ander product zoeken waarvan de licentie wel past voor wat ik zoek.


als je hoort de wet te kennen. Daar heb je geen omkijken naar. MS zou elke dag vragen ga je akkoord met de wet?

Huh ? Slaat nergens op . Ja, je wordt geacht de wet te kennen; Bij GPL mag je de software niet gesloten maken, bij BSD mag je dat gezeur over de regents van Universiteit van California niet weghalen, en bij Microsoft mag je een hoop andere dingen niet.

Overeenkomst : je mag wat de maker je toestaat per licentie .
En de basis van al die licenties (niks mag tenzij toegestaan door de maker) is allemaal dezelfde auteursrecht wetgeving.
Reageer met quote
Gisteren, 21:54 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Microsoft heeft helemaal niet gelijk. Wij mogen die prut niet eens gebruiken als je niet met hun voorwaarden akkoord gaat.

Goh, lijkt de GPL wel, die software mag ik ook niet gebruiken in mijn product als ik niet aan de voorwaarden voldoe.
Zoals een staafmixer op een F35 lijkt omdat er bij allebei een motor in zit, bedoel je? Het zijn wezenlijk verschillende licenties.

Probeer eens je school af te maken.
De overeenkomst is dat je bij beiden je te houden hebt aan de licenties/gebruikersvoorwaarden van de maker .

Die kunnen heel verschillend zijn , dat klopt , maar er was een totale nono die het verschrikkelijk vond dat ie iets niet mag gebruiken zonder akkoord te gaan met de gebruiksvoorwaarden van de leverancier . Tsja, dat geldt dus ook als de leverancier iets onder GPL uitbrengt - de voorwaarden zijn anders, maar je moet je er wel aan houden.

Ik weet eigenlijk niet wat voor garantie je krijgt op een F35, maar de kans is reeel dat daar net als bij een staafmixer dingen in staan waarbij de garantie vervalt als je 'm oneigenlijk gebruikt.
Onvergelijkbaar. GPL is een copyleft-licentie voor opensourcesoftware. Dat staat loodrecht op de microsoft licenties

Totaal vergelijkbaar : je moet je aan de inhoud van de licentie houden, anders mag je de software niet gebruiken.


Misschien staat de ene inhoud jou wel aan, en de andere niet, maar in beide geldt (op basis van dezelfde wetgeving) : de maker stelt de voorwaarden.


Je hoeft er niet actief mee akkoord te gaan middels een vinkje zoals bij die MS prut.
Je kunt de software vrij gebruiken, aanpassen en verspreiden, maar alle afgeleide werken moeten onder dezelfde copyleft-licentie worden uitgebracht. Dit zorgt ervoor dat de software open en gratis blijft voor iedereen. Nogal een verschil he. Zo iet

Bla bla oogklep.


Als ik dat nu niet wil, en GPL in een gesloten product wil gebruiken MAG DAT NIET.

Omdat de maker die licentie gekozen heeft . En dan kan ik (net als die domme nono) gaan jammeren dat ik iets niet mag van de maker , of gewoon volwassen zijn en zeggen dat de licentie niet past bij wat ik wil, en een ander product zoeken waarvan de licentie wel past voor wat ik zoek.


als je hoort de wet te kennen. Daar heb je geen omkijken naar. MS zou elke dag vragen ga je akkoord met de wet?

Huh ? Slaat nergens op . Ja, je wordt geacht de wet te kennen; Bij GPL mag je de software niet gesloten maken, bij BSD mag je dat gezeur over de regents van Universiteit van California niet weghalen, en bij Microsoft mag je een hoop andere dingen niet.

Overeenkomst : je mag wat de maker je toestaat per licentie .
En de basis van al die licenties (niks mag tenzij toegestaan door de maker) is allemaal dezelfde auteursrecht wetgeving.

Ah hij is weer gespot. De man of vrouw die altijd even een ad hominem doet (net als die domme nono)
De GPL is een copy left licentie (de MS EULA niet) bedoelt om profiteurs zoals jij te dwingen jouw product dan ook GPL te maken.
Als mensen Linux installeren hoeven ze NIET eerst de GPL te accepteren. Je mag het gewoon gebruiken, kopiëren en verspreiden of doorverkopen. Dus die nono was zo dom nog niet.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure GenAI Deep Dive Security Training