微软周三发布的一个补丁,旨在修复其 Defender 安全引擎中的一个零日漏洞,但发现该漏洞的研究人员指出,这一补丁可能导致 Windows 系统写入大量文件,进而耗尽所有可用磁盘空间。
该漏洞被追踪编号为 CVE-2026-50656,代号 RoguePlanet,于今年 6 月首次进入公众视野。化名 NightmareEclipse 的匿名研究人员当时公开披露了该漏洞及其利用代码。此漏洞允许远程攻击者在实时保护被禁用的情况下,仍能获取 Windows 10 和 Windows 11 设备的管理员权限。过去几个月里,这位匿名研究人员已陆续公开了多个零日漏洞,令微软不得不疲于应对、加紧开发补丁。
微软周三表示,已通过更新 Microsoft 恶意软件防护引擎(该引擎被 Defender 防病毒应用程序所使用)的方式修复了 RoguePlanet 漏洞。此次修复将自动下载并安装,无需用户手动操作。周三的更新还包含了"纵深防御更新,以助力提升安全相关功能"。
然而,NightmareEclipse 周四在一篇帖子中指出,上述纵深防御新增内容所产生的行为,可能使攻击者通过向硬盘写入海量数据来耗尽所有可用空间。新引入的缓解措施在 mpengine.dll(与微软恶意软件防护引擎关联的驱动程序)中引发了一个问题:在某些情况下,该驱动在尝试打开文件时会泄露 8 字节数据。此外,SpyNet 中的新功能也在这一潜在的大规模文件写入行为中扮演了一定角色。SpyNet 是一项云服务,允许 Microsoft Security Essentials 或 Forefront Endpoint Protection 向微软发送有关可疑软件和程序的报告。
通常情况下,Defender 在扫描和隔离计算机时,会对写入磁盘的文件大小设置严格上限。
该研究人员写道:"这一设计逻辑合理,因为隔离一个超大文件会导致 Defender 完全耗尽可用磁盘空间。但我发现了一个例外情况——mpengine.dll 中的 SpyNet 相关函数似乎执意要在本地保留一份 Zone.Identifier ADS 文件的副本,且不论该文件有多大,Windows Defender 都会在本地进行缓存。"
Zone.Identifier 是一种隐藏的元数据文件,有时也被称为替代数据流(ADS),Windows 会自动将其与从互联网下载、通过电子邮件或其他外部途径接收的文件相关联。该数据流允许 Windows 标记文件的来源及其应归属的安全区域。
NightmareEclipse 表示,恶意行为者可以利用 SMB(服务器消息块,一种用于在本地 Windows 网络上共享文件的通信协议)来触发上述行为。研究人员对此解释道:
"利用该漏洞需要特定的环境配置——需要搭建一台自定义 SMB 服务器来处理来自 Windows Defender 的请求。该 SMB 服务器需提供一个恶意文件(例如 mimikatz 可执行文件),以及一个体积极大的 ADS 文件(例如 mimikatz.exe:Zone.Identifier)。在响应读取请求的过程中,SMB 服务器应在某个时间点停止响应读取请求,但同时保持连接不断开。这将导致 Defender 挂起,并持续锁定占用全部磁盘空间的相关文件。"
他补充道,这不会直接导致系统崩溃,但磁盘满载后 Windows 将无法正常运行,多个应用程序和服务会随机崩溃。
微软方面在一封电子邮件中表示,已知晓上述报告,并正在展开调查。
NightmareEclipse 与微软之间的激烈争端至少可以追溯到今年 5 月。当时,该研究人员声称微软在未告知的情况下,悄然修复了其私下提交报告的一个漏洞。此后数周,研究人员在微软尚未发布补丁之前,便陆续公开了多个漏洞的详细信息及利用代码。微软随即公开指责该研究人员"未负责任地"披露漏洞,并隐晦地暗示可能采取法律行动。在遭到公众强烈反对后,微软有所退让,承诺不会采取任何法律行动。
周四的这一事件表明,双方之间的矛盾远未平息。
Q&A
Q1:CVE-2026-50656 漏洞是什么?它有什么危害?
A:CVE-2026-50656(代号 RoguePlanet)是 Windows Defender 安全引擎中的一个零日漏洞。它允许远程攻击者在实时保护被禁用的情况下,仍可获取 Windows 10 和 Windows 11 设备的管理员权限,威胁极为严重。该漏洞由匿名研究人员 NightmareEclipse 于 2026 年 6 月公开披露,并同步发布了漏洞利用代码。
Q2:微软发布的 Defender 补丁为什么会导致硬盘空间被耗尽?
A:微软此次补丁在 mpengine.dll 中新增了纵深防御机制,但该机制存在缺陷:SpyNet 相关函数会强制在本地缓存 Zone.Identifier ADS 文件副本,且不受文件大小限制。攻击者可借助自定义 SMB 服务器提供恶意文件及超大 ADS 文件,触发 Defender 不断写入数据,最终耗尽全部磁盘空间,导致多个应用程序和系统服务随机崩溃。
Q3:NightmareEclipse 和微软之间的争议是怎么回事?
A:双方矛盾起源于 2026 年 5 月。NightmareEclipse 指控微软在未知会其本人的情况下,悄然修复了其私下提交的漏洞。此后,研究人员开始在微软发布补丁前公开披露多个零日漏洞。微软随即公开谴责其行为不负责任,并暗示可能采取法律行动,但在遭到舆论反弹后承诺放弃诉讼。此次补丁缺陷事件表明,双方争端仍在持续。
好文章,需要你的鼓励
OpenAI在与多家新闻机构的版权诉讼中陷入困境。以《纽约时报》为首的原告指控OpenAI在长达两年时间里向法庭撒谎,刻意隐瞒其已对ChatGPT日志进行大规模搜索的事实。据悉,OpenAI实际上已拥有包含1000万和7800万条记录的日志样本,并曾用于研究版权内容过滤器,却对外声称无法进行此类搜索。原告据此提出制裁动议,要求法院追责。OpenAI则否认相关指控,坚称其立场基于合理使用原则。
斯坦福与UC伯克利提出LLM-as-a-Verifier框架,通过提取AI模型内部概率分布生成连续评分,在代码、机器人、医疗领域均达到最优性能,且无需额外训练。
美国加州大学圣地亚哥分校研究团队在《自然》期刊发表研究成果:外科医生通过远程操控宇树G1仿人机器人,成功完成两例活体猪胆囊切除手术,创下全球首例。与造价数十至数百万美元的达芬奇手术机器人相比,仿人机器人成本更低、体积更小,未来有望部署于农村、战地乃至太空等资源匮乏的医疗场景。但目前仍存在需频繁重新校准、机械臂活动范围受限等挑战。
字节跳动Seed团队发现AI智能体在真实环境中学习的进步曲线精确遵循对数S形规律,R?达0.998,且前沿模型的学习速度每三个月翻倍。