Nieuws
image

Microsoft hekelt onderzoeker over publicatie van YellowKey-lek in BitLocker

donderdag 28 mei 2026, 12:27 door Redactie, 10 reacties

Microsoft is niet te spreken over onderzoekers die kwetsbaarheden in Windows meteen op internet publiceren in plaats van eerst het techbedrijf te informeren, zoals het geval was met het YellowKey-lek in BitLocker. Volgens Microsoft zorgt dit voor onnodige risico's en brengt het Windows-gebruikers in gevaar. De onderzoeker achter het YellowKey-lek zegt dat hij het techbedrijf wel heeft geïnformeerd.

De afgelopen weken verschenen op internet meerdere kwetsbaarheden, zoals RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma en MiniPlasma. Op het moment van de publicatie waren er nog geen patches beschikbaar. Microsoft stelt dat deze beveiligingslekken niet op 'verantwoorde wijze' zijn gerapporteerd. "We verzetten ons tegen deze acties en elke publicatie buiten de juiste coördinatie om die onze klanten en het digitale ecosysteem kunnen schaden. Het ongecoördineerd openbaar maken waardoor proof-of-concept code voor ongepatchte kwetsbaarheden in handen van aanvallers komt is nooit gerechtvaardigd en heeft echte gevolgen", aldus Microsoft.

Het techbedrijf roept beveiligingsonderzoekers op om Coordinated Vulnerability Disclosure (CVD) te volgen, waarbij kwetsbaarheden eerst aan de leverancier worden gemeld, zodat die een update kan ontwikkelen. De beveiligingsonderzoeker achter onder andere YellowKey, GreenPlasma en MiniPlasma stelt dat hij Microsoft wel heeft ingelicht en dat het techbedrijf zijn reputatie schaadt door te beweren dat hij de CVD-richtlijn heeft overtreden. Tevens stelt de onderzoeker dat hij op 14 juli met informatie komt die zeer schadelijk voor Microsoft zal zijn.

Reacties (10)
Reageer met quote
Vandaag, 12:32 door Named
Microsoft heeft een reputatie dat ze bug bounties weigeren uit te keren.
Ik denk dat deze beveiligingsonderzoeker het zat was om opgelicht te worden en dus zijn frustratie uit op een leuke manier.
Daarom kijk ik ook met veel plezier uit naar 14 juli!
Reageer met quote
Vandaag, 12:38 door Anoniem
Microslop roept op voor rechtvaardigheid en hun "moral high ground"...
Misschien even alle telemetrie eruit zodat ze uw metadata niet meer kunnen verkopen aan derden, waaronder aan overheden en sleepwetten?
Misschien alle Microslop lobbypraktijken de wereld uithelpen?
Of zorgen dat Microslop mensen niet van jongs af aan afhankelijk worden van Microslop-producten?
Of de nep-goede doelen van veranderen in échte goede doelen zonder winstbejag?
En ga zo maar door... Zie ook https://youtu.be/OH4uh8cHuto
Reageer met quote
Vandaag, 12:54 door Anoniem
Microsoft is verantwoordelijk voor de introductie van de bug. Steek de hand in eigen boezem in plaats van de boodschapper aan te vallen.
Reageer met quote
Vandaag, 12:59 door Anoniem
Door Named: Microsoft heeft een reputatie dat ze bug bounties weigeren uit te keren.
Ik denk dat deze beveiligingsonderzoeker het zat was om opgelicht te worden en dus zijn frustratie uit op een leuke manier.
Daarom kijk ik ook met veel plezier uit naar 14 juli!
Ik ook. De enige die Windows-gebruikers in gevaar brengt is microsoft zelf!
Reageer met quote
Vandaag, 13:34 door Anoniem
Het is een verdien-model en helemaal nu met AI,
dus alles gaat nu sneller,en men wordt ongeduldig,waar blijft mijn geld en is dan beledigt
vanwege het niet uitbetalen,of andere factoren,dan is dat de beveiligings-onderzoeker aan te rekenen
op zijn gedrag.

Dus in plaats van elkaar te helpen,elkaar te blijven respecteren en te informeren
over beveiligings risico's voor de "maatschappij" publiceren wij uit frustratie
maar deze kwetsbaarheden in Windows meteen op internet.

Nu loopt elke windows gebruiker dus meer risico,het gaat
om de digitale samenleving veilig te houden,daar gaat het om.

Deze beveiligings onderzoekers zijn nu gewoon verkeerd bezig.

Microsoft heeft gelijk

Wereld2026
Reageer met quote
Vandaag, 13:52 door Anoniem
" Tevens stelt de onderzoeker dat hij op 14 juli met informatie komt die zeer schadelijk voor Microsoft zal zijn."

Losstaand van het welles/nietes spelletje tussen MS en "onderzoeker".

Kun je de quote niet opvatten als dreigement; iets of iemand bewust pogen schade te gaan toebrengen en hem daarmee "aanklagen" of "oppakken"?

Gekke wereld en welkom op deze wereld ...
Reageer met quote
Vandaag, 14:05 door Anoniem
Door Anoniem: Het is een verdien-model en helemaal nu met AI,
dus alles gaat nu sneller,en men wordt ongeduldig,waar blijft mijn geld en is dan beledigt
vanwege het niet uitbetalen,of andere factoren,dan is dat de beveiligings-onderzoeker aan te rekenen
op zijn gedrag.

Dus in plaats van elkaar te helpen,elkaar te blijven respecteren en te informeren
over beveiligings risico's voor de "maatschappij" publiceren wij uit frustratie
maar deze kwetsbaarheden in Windows meteen op internet.

Nu loopt elke windows gebruiker dus meer risico,het gaat
om de digitale samenleving veilig te houden,daar gaat het om.

Deze beveiligings onderzoekers zijn nu gewoon verkeerd bezig.

Microsoft heeft gelijk

Wereld2026
Microsoft heeft helemaal niet gelijk. Wij mogen die prut niet eens gebruiken als je niet met hun voorwaarden akkoord gaat. Het is prut en dat zegt die beveiliger ook alleen iets specifieker. Microsoft gaat zelf over de kwaliteit en die beveiliger heeft geen contract met microsoft getekend.
Reageer met quote
Vandaag, 14:09 door Erikje
Door Anoniem: Het is een verdien-model en helemaal nu met AI,
dus alles gaat nu sneller,en men wordt ongeduldig,waar blijft mijn geld en is dan beledigt
vanwege het niet uitbetalen,of andere factoren,dan is dat de beveiligings-onderzoeker aan te rekenen
op zijn gedrag.

Dus in plaats van elkaar te helpen,elkaar te blijven respecteren en te informeren
over beveiligings risico's voor de "maatschappij" publiceren wij uit frustratie
maar deze kwetsbaarheden in Windows meteen op internet.

Nu loopt elke windows gebruiker dus meer risico,het gaat
om de digitale samenleving veilig te houden,daar gaat het om.

Deze beveiligings onderzoekers zijn nu gewoon verkeerd bezig.

Microsoft heeft gelijk

Wereld2026
Je hebt echt geen idee he? Lees je aub eerst even in, voordat je jezelf totaal voor paal zet.
Reageer met quote
Vandaag, 15:09 door Anoniem
Door Anoniem:
Microsoft heeft helemaal niet gelijk. Wij mogen die prut niet eens gebruiken als je niet met hun voorwaarden akkoord gaat.

Goh, lijkt de GPL wel, die software mag ik ook niet gebruiken in mijn product als ik niet aan de voorwaarden voldoe.
Reageer met quote
Vandaag, 15:15 door linuxpro
Goh, wie had dat nou verwacht, mickeysoft die t aan het licht brengen van de zoveelste security screw up niet leuk vind. Nee, Apple of Linux kwetsbaarheden publiceren vinden ze natuurlijk veel leuker. Stel lutsers
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure GenAI Deep Dive Security Training