A Microsoft se manifestou fortemente em favor da Divulgação Coordenada de Vulnerabilidades (CVD), instando a comunidade de pesquisa a compartilhar suas descobertas e dar aos fornecedores afetados a oportunidade de entender melhor o impacto e corrigi-las antes que sejam divulgadas publicamente.  O desenvolvimento ocorre após um pesquisador chamado Chaotic Eclipse (também conhecido como Nightmare-Eclipse) divulgar detalhes de múltiplas vulnerabilidades zero-day afetando vários componentes do **Windows**, incluindo **Defender** e **BitLocker**, no último mês, citando uma falha no tratamento da Microsoft no processo de divulgação de vulnerabilidades. "Nas últimas semanas, várias vulnerabilidades zero-day foram divulgadas publicamente", disse a gigante da tecnologia [aqui](https://www.microsoft.com/en-us/msrc/blog/2026/05/a-shared-responsibility-protecting-customers-through-coordinated-vulnerability-disclosure). "Os detalhes dessas vulnerabilidades não foram compartilhados com a **Microsoft** antes da divulgação, e as divulgações colocaram nossos clientes em risco desnecessário." "Em resposta ao risco desnecessário criado por essas divulgações, nossas equipes de segurança trabalharam incansavelmente para entender o impacto, proteger nossos clientes e desenvolver atualizações de segurança." ### Vulnerabilidades Divulgadas As vulnerabilidades incluem **BlueHammer** (**CVE-2026-33825**), **RedSun** (**CVE-2026-41091**), **UnDefend** (**CVE-2026-45498**), **YellowKey** (**CVE-2026-45585**), **GreenPlasma** e **MiniPlasma**. Após a divulgação, BlueHammer, RedSun e UnDefend foram ativamente exploradas em campo. A **Microsoft** afirmou que se opõe "firmemente" a tais divulgações não coordenadas e que a disponibilização de código proof-of-concept para vulnerabilidades sem correção pode ter "consequências no mundo real" quando caem nas mãos de atores mal-intencionados. ### Resposta da Microsoft "Convidamos perspectivas diversas que ajudem a comunidade de segurança a trabalhar em conjunto para proteger a todos. Reconhecemos que nem sempre concordaremos em tudo, mas estamos comprometidos com a transparência e continuamos a criar oportunidades para o diálogo", acrescentou a gigante da tecnologia. "Essas conversas acontecem em eventos de reconhecimento de pesquisadores, conferências de segurança e no trabalho diário que fazemos juntos para entender e corrigir vulnerabilidades." ### Consequências e Repercussões As consequências dessas divulgações teriam levado o **GitHub** a remover a conta do pesquisador na semana passada. Embora o código de exploit para as seis vulnerabilidades tenha sido subsequentemente carregado no **GitLab**, a [conta recém-criada](https://gitlab.com/nightmare-eclipse) foi bloqueada desde então. "Então, deixa eu entender, quando eu ativamente pedi para você se comunicar comigo, você recusou, me humilhou e fez questão de me insultar na frente das pessoas", disse o pesquisador [aqui](https://deadeclipse666.blogspot.com/2026/05/july-14th.html) em uma postagem publicada no fim de semana. "Você me difama publicamente com seu aviso **CVE-2026-45585**, mesmo você tendo literalmente deletado a conta da **Microsoft** que eu usava para reportar bugs para você, e eu não ganhei um centavo por isso e ainda assim fiz feliz como um idiota. Agora você tem a cortesia de sinalizar minha conta do **GitHub** e apagá-la do público, assim? Você está provando para todo mundo que você [sic] está ativamente escalando este conflito, mas eu cansei de implorar a você." O pesquisador também disse que pretende lançar algo em 14 de julho de 2026 que "garantirá que seus ossos sejam quebrados naquele dia."