Windows 11の回復環境(WinRE)に存在する脆弱性「CVE‑2026‑45585(通称: YellowKey)」をめぐり、Microsoftと脆弱性を発見した研究者Nightmare‑Eclipse氏の間で摩擦が生じていることがわかりました。YellowKey脆弱性は、Windowsの暗号化機能BitLockerをUSB経由で回避できてしまう重大な問題です。研究者が公開したPoCによると、攻撃者はWinRE内の「FsTx」フォルダーを悪用し、USBメディアを使ってBitLockerをバイパスすることができます。Microsoftもこの脆弱性を認め、影響を受けるユーザー向けに暫定的な緩和策を提示しました。Microsoftが公開した暫定対策Microsoftは、WinREのレジストリ設定からautofstx.exeを削除するスクリプトを公開し、これを「暫定的なセキュリティ修正」と位置づけています。スクリプトの特徴は次の通りです:BootExecuteからautofstx.exeを除外することで、特権の高い環境での実行を防ぐWinREイメージをマウントし、オフラインレジストリを編集して再封印するautofstx.exeが存在しない場合は変更せず終了する安全設計企業の持ち出し端末など、盗難リスクのある環境では特に適用が推奨されています。Microsoftと研究者の対立Microsoftは今回のPoC公開について「協調的脆弱性開示(CVD)のベストプラクティスに反している」とコメントしました。Microsoft is aware of a security feature bypass vulnerability in Windows publicly referred to as "YellowKey". The proof of concept for this vulnerability has been made public violating coordinated vulnerability best practices.Microsoftは、「YellowKey」として公に言及されているWindowsのセキュリティ機能バイパスの脆弱性を認識しています。この脆弱性の概念実証(PoC)が、協調的な脆弱性開示のベストプラクティスに違反する形で公開されています。これに対しNightmare‑Eclipse氏は強く反発し、自身のブログで次のような主張を展開しています。Microsoft が MSRC アカウントを一方的に削除した説明を求めても返答がなかった「CVD違反」と公に非難されたことは名誉毀損にあたるまとめ脆弱性そのものはMicrosoftが認め、暫定対策も提示されたものの、研究者との関係悪化が表面化したことで、今後の対応や透明性が注目されています。セキュリティ研究者と企業の協調体制が問われる事例として、しばらく議論が続きそうです[via Neowin]