قد يكون لتصحيح مايكروسوفت لثغرة يوم الصفر في محرك الأمان ديفندر أثر جانبي: فقد يملأ قرصك الصلب بملفات ضخمة، وفقًا للباحث الذي اكتشف الثغرة الأصلية.

الثغرة، التي تُعرف باسم CVE-2026-50656 وتُلقب بـ RoguePlanet، تم الكشف عنها في يونيو من قبل باحث يستخدم اسمًا مستعارًا هو NightmareEclipse، والذي نشر أيضًا كود الاستغلال. تسمح الثغرة للمهاجمين عن بُعد بالحصول على تحكم إداري في أجهزة ويندوز 10 وويندوز 11، حتى مع تعطيل الحماية في الوقت الفعلي. يقوم تصحيح مايكروسوفت بتحديث محرك الحماية من البرامج الضارة الذي يستخدمه ديفندر، ويتضمن "تحديثات دفاعية متعمقة" لتحسين الأمان.

لكن في منشور يوم الخميس، قال NightmareEclipse إن هذه الإجراءات التخفيفية تُحدث مشكلة جديدة: برنامج التشغيل mpengine.dll يمكنه تسريب 8 بايت من البيانات عند فتح ملف، وبالاقتران مع خدمة السحابة SpyNet، قد يتسبب في كتابة ديفندر لكميات هائلة من البيانات على القرص، مما يستنفد المساحة المتاحة. عادةً، يحد ديفندر من أحجام الملفات أثناء الفحص والحجر الصحي، لكن الباحث وجد استثناءً يتعلق بملفات Zone.Identifier - البيانات الوصفية المخفية التي يرفقها ويندوز بالملفات التي تم تنزيلها.

لاستغلال ذلك، سيحتاج المهاجم إلى خادم SMB مخصص يقدم ملفًا ضارًا (مثل mimikatz) متبوعًا بملف ADS ضخم (مثل mimikatz.exe:Zone.Identifier). من خلال عدم إكمال طلبات القراءة مع إبقاء الاتصال نشطًا، يتعطل ديفندر ويقفل الملف، مما يستهلك مساحة القرص. بينما لن يؤدي ذلك إلى تعطل الجهاز، فإن امتلاء القرص يتسبب في تعطل التطبيقات والخدمات بشكل عشوائي.

لم تؤكد مايكروسوفت السلوك على الفور. يعود الخلاف بين NightmareEclipse ومايكروسوفت إلى مايو على الأقل، عندما ادعى الباحث أن مايكروسوفت قامت بتصحيح ثغرة أبلغ عنها بصمت. منذ ذلك الحين، نشر الباحث تفاصيل وكود استغلال لعدة ثغرات قبل أن تتمكن مايكروسوفت من تصحيحها. انتقدت مايكروسوفت الإفصاحات ووصفتها بأنها غير مسؤولة وألمحت إلى اتخاذ إجراءات قانونية، لكنها تراجعت بعد رد فعل عام عنيف. يكشف كشف الخميس أن الخلاف مستمر.