Microsoft hat in einer Stellungnahme die in den vergangenen Wochen erfolgten Veröffentlichungen mehrerer Zero-Day-Lücken scharf zurückgewiesen. Die Details seien dem Unternehmen vor der Veröffentlichung nicht mitgeteilt worden, was die Kunden einem unnötigen Risiko ausgesetzt habe. Die Sicherheitsteams hätten daraufhin ohne Unterbrechung gearbeitet, um die Auswirkungen zu verstehen, Kunden zu schützen und Sicherheitsupdates zu entwickeln.

Hinter den Veröffentlichungen steht ein Forscher, der unter den Namen Chaotic Eclipse beziehungsweise Nightmare-Eclipse auftritt. Er hatte im Verlauf des vergangenen Monats Schwachstellen in mehreren Windows-Komponenten offengelegt, darunter Defender und BitLocker, und dies mit einem gescheiterten Umgang Microsofts beim Offenlegungsprozess begründet.

Konkret betroffen sind die Lücken BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585) sowie GreenPlasma und MiniPlasma. Nach der Veröffentlichung wurden BlueHammer, RedSun und UnDefend bereits aktiv ausgenutzt.

Microsoft erklärte, man lehne solche unkoordinierten Veröffentlichungen entschieden ab. Werde Proof-of-Concept-Code für ungepatchte Schwachstellen bereitgestellt, könne dies reale Folgen haben, wenn er in die Hände von Angreifern gelange. Zugleich betonte das Unternehmen, man begrüße unterschiedliche Perspektiven und bekenne sich zu Transparenz und Dialog – etwa bei Veranstaltungen zur Würdigung von Forschern, auf Sicherheitskonferenzen und in der täglichen gemeinsamen Arbeit. Man werde nicht in allen Punkten übereinstimmen.

Die Auseinandersetzung führte dem Bericht zufolge dazu, dass GitHub das Konto des Forschers in der vergangenen Woche entfernte. Der Exploit-Code für die sechs Schwachstellen wurde anschließend zu GitLab hochgeladen, doch auch das dort neu angelegte Konto wurde gesperrt.

In einem über das Wochenende veröffentlichten Beitrag warf der Forscher Microsoft vor, jede Kommunikation verweigert und ihn öffentlich gedemütigt zu haben. Er kritisierte zudem das Advisory zu CVE-2026-45585: Microsoft habe ihn darin öffentlich bloßgestellt, obwohl das Unternehmen das von ihm zur Meldung von Fehlern genutzte Microsoft-Konto gelöscht habe und er für seine Arbeit keinerlei Bezahlung erhalten habe. Dass nun auch sein GitHub-Konto markiert und aus der Öffentlichkeit getilgt worden sei, zeige aus seiner Sicht eine bewusste Eskalation des Konflikts.

Der Forscher kündigte an, am 14. Juli 2026 etwas zu veröffentlichen, das nach seinen Worten Microsoft an jenem Tag schwer treffen werde.