ไมโครซอฟท์ออกมาแสดงจุดยืนเด็ดขาดให้ความสำคัญกับกระบวนการ Coordinated Vulnerability Disclosure (CVD) โดยเรียกร้องให้ชุมชนนักวิจัยความปลอดภัยแบ่งปันการค้นพบของพวกเขากับผู้ขายซอฟต์แวร์ที่ได้รับผลกระทบก่อน ทั้งนี้เพื่อให้ผู้ขายมีเวลาไปวิเคราะห์ถึงขอบเขตของผลกระทบและพัฒนาแพตช์ปิดช่องโหว่ได้อย่างทันท่วงที ก่อนที่ข้อมูลดังกล่าวจะถูกเปิดเผยต่อสาธารณชนซึ่งอาจถูกนำไปใช้ประโยชน์จากกลุ่มแฮกเกอร์

เหตุการณ์นี้เกิดขึ้นตามมาจากกรณีที่นักวิจัยในนามแฝง Chaotic Eclipse หรือ Nightmare-Eclipse ได้ทำการเปิดเผยรายละเอียดของช่องโหว่แบบ Zero-day หลายรายการของไมโครซอฟท์ออกสู่สาธารณะโดยไม่ผ่านการประสานงานล่วงหน้า ซึ่งการกระทำดังกล่าวถือเป็นการละเมิดกฎเกณฑ์มาตรฐานของอุตสาหกรรมและเพิ่มความเสี่ยงต่อผู้ใช้งานทั่วโลก จึงเป็นที่มาของการที่ GitHub ตัดสินใจลบบัญชีของนักวิจัยคนดังกล่าวออกจากแพลตฟอร์ม

ทั้งนี้ กรณีศึกษานี้สะท้อนให้เห็นถึงความตึงเครียดระหว่างการค้นพบช่องโหว่เพื่อความปลอดภัยและจริยธรรมในการเปิดเผยข้อมูล ไมโครซอฟท์เน้นย้ำว่าการประสานงานที่ดีจะช่วยปกป้องระบบนิเวศของไซเบอร์โดยรวม แม้ว่าในบางครั้งนักวิจัยอาจรู้สึกผิดหวังกับความเร็วในการแก้ไขของผู้ขาย การเปิดเผยช่องโหว่แบบเผยแพร่สาธารณะทันทีถือเป็นแนวทางที่เสี่ยงและอาจสร้างความเสียหายรุนแรงกลับคืนสู่องค์กรและผู้ใช้งานในท้ายที่สุด

คำศัพท์เทคนิคที่น่าสนใจ

• Zero-Day – ช่องโหว่ทางความปลอดภัยของซอฟต์แวร์ที่ยังไม่เคยถูกค้นพบหรือยังไม่มีแพตช์จากผู้พัฒนา
• Coordinated Vulnerability Disclosure (CVD) – กระบวนการประสานงานเปิดเผยช่องโหว่โดยนักวิจัยจะแจ้งให้ผู้ขายทราบก่อนเพื่อให้มีเวลาแก้ไข ก่อนที่จะนำข้อมูลไปเปิดเผยต่อสาธารณชน
• Patch – โปรแกรมหรือโค้ดเสริมที่ผู้พัฒนาสร้างขึ้นมาเพื่อปิดหรือแก้ไขช่องโหว่ทางความปลอดภัย

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/microsoft-slams-public-zero-day.html