In der neuen Stellungnahme, die Microsoft über soziale Medien statt über den offiziellen Blog verbreitete, erklärte das Unternehmen, das Feedback ernst zu nehmen. „Um unseren Ansatz in Rechtsfragen klarzustellen: Wir haben nicht die Absicht, gegen Personen vorzugehen, die Sicherheitsforschung betreiben oder veröffentlichen", hieß es.

Microsoft fügte allerdings eine Einschränkung hinzu: „Wenn eine Person das Gesetz bricht und sich an böswilligen Aktivitäten beteiligt, die unseren Kunden echten Schaden zufügen, werden wir in angemessener Weise mit den Strafverfolgungsbehörden zusammenarbeiten."

Das Unternehmen räumte eigene Versäumnisse im Umgang mit Forschern ein. „Einige Interaktionen sind hinter den Erwartungen zurückgeblieben", erklärte Microsoft, man arbeite daran, aus diesen Vorfällen zu lernen. Auf die konkreten Vorwürfe von Nightmare Eclipse ging die Stellungnahme nicht direkt ein.

Auffällig ist eine sprachliche Korrektur: Die neue Stellungnahme verzichtet auf den Begriff „responsible disclosure", der im ursprünglichen Beitrag viermal vorgekommen war. Stattdessen spricht Microsoft nun von „Coordinated Vulnerability Disclosure" – jenem Begriff, den das Unternehmen 2010 eingeführt hatte, um nicht den Eindruck zu erwecken, Forscher, die sich nicht daran hielten, verhielten sich unverantwortlich.

Katie Moussouris, die als Microsoft-Mitarbeiterin am Rückzug des älteren Begriffs mitgewirkt hatte, hatte dessen Wiederauftauchen im Beitrag der vergangenen Woche als „aufgeladen" bezeichnet. Auf Bluesky schrieb sie, kein Anbieter benutze diesen Begriff, „es sei denn, er will jemanden als unverantwortlich bezeichnen".

Microsoft betonte abschließend die Bedeutung der Sicherheitsgemeinde: „Die Sicherheitsgemeinschaft spielt eine entscheidende Rolle dabei, unsere Kunden zu schützen. Wir sind einer konstruktiven und respektvollen Beziehung verpflichtet." Es werde angesichts der Natur dieser Arbeit zuweilen Missverständnisse geben, doch man bleibe entschlossen, allen Forschern unabhängig von früheren Interaktionen einen respektvollen und professionellen Umgang zu bieten.

Nightmare Eclipse selbst erklärte in einem Blogbeitrag, andere Forscher hätten sich nach den „jüngsten Ereignissen" an ihn gewandt und ihm teils direkt Schwachstellen übergeben. Angekündigt wurde eine neue Secure-Boot-Schwachstelle, die im Juni veröffentlicht werden soll. Der Fehler umgehe „BitLocker vollständig" und könne sich möglicherweise dazu eignen, vertrauliche virtuelle Maschinen zu kompromittieren.

Microsoft reagierte vor Veröffentlichung nicht auf eine Anfrage um Stellungnahme.