未加星标

Zerodium(ZDI)出价100万美元悬赏Tor浏览器0-day

字体大小 | |
[业界资讯 所属分类 业界资讯 | 发布者 店小二04 | 时间 | 作者 红领巾 ] 0人收藏点击收藏
Zerodium(ZDI)出价100万美元悬赏Tor浏览器0-day

Zerodium(ZDI)出价100万美元悬赏Tor浏览器0-day


原创翻译。
Zerodium(ZDI)出价100万美元悬赏Tor浏览器0-day

看来有人迫切需要Tor浏览器的0-day啊,以至于他愿意出100万美元悬赏。
Zerodium是一家专门从事买卖0-day的公司,他们刚刚宣布他们愿意出价100万美元收购可以用于攻击Tails linux系统和windows操作系统上Tor浏览器的0-day。
Tor浏览器的用户,尤其是使用Tails操作系统来保护自己隐私的人们,这下可该提高警惕了。
ZDI在自己网站上发布了一些规则和支付细节,其中包括一条,就是如果能够成功利用禁用了javascript的Tor浏览器的话,奖金会比启用了Javascript的EXP翻一倍。
ZDI清楚的提到,这个EXP必须能够做到远程命令执行,初始攻击向量应该是一个网页,并且EXP应当能够攻击最新版本的Tor浏览器。还有就是,这个Tor的0-day EXP必须让被攻击者“看一眼就怀孕”,不用任何交互。
其他攻击方式,例如发一个恶意文档让用户中招,这种不适用与这次悬赏。但是ZDI说,或许愿意对这种EXP的悬赏另当别论。
尽管一直以来,0-day市场一直是一个赚钱的生意,因为私有企业愿意比大的科技公司出更高的价钱来购买没有被披露的漏洞。ZDI表示,他们想把这个Tor浏览器的0-day卖给执法机构用于打击犯罪。
在一次问答对话中,该公司承认他们将会把得到的Tor浏览器0-day卖给执法机构或者向政府出售间谍软件的商业恶意软件开发商。

ZDI说,“很多时候,Tor都是被丑陋的人用来进行毒品交易或者虐待儿童。我们发起这个项目,是为了帮助我们的政府客户更好的对抗犯罪,让这个世界更美好、更安全。”


Tor项目对ZDI的漏洞赏金项目回应说,破坏匿名软件的安全性可能会危及许多依赖Tor的用户的生命,包括人权卫士,活动家,律师和研究人员。这个非营利的项目同时还促请安全研究员和黑客们在他们最近发起的漏洞悬赏项目中负责人的提交Tor的漏洞。他们说:“超过1500000的人每天依赖Tor保护自己的在线隐私,对其中一些人来说,这是生与死的问题。参加ZDI的项目会将使我们最处于危险之中的用户的生命岌岌可危”。
下面是Tor 浏览器的0-day RCE EXP 悬赏价格(注:RCE是指远程命令执行,LPE是指本地权限提升):
Zerodium(ZDI)出价100万美元悬赏Tor浏览器0-day

截止日期是2017年9月30日 美国东部时间下午6:00。如果收0-day的总金额达到了100万美元,这个漏洞赏金项目可能会提前结束。
参考链接:
1.新闻原文地址:http://thehackernews.com/2017/09/tor-zero-day-exploits.html
2.Tor的漏洞赏金项目:http://thehackernews.com/2015/12/tor-project-bug-bounty.html
3.ZDI的漏洞赏金项目:https://zerodium.com/tor.html

本文业界资讯相关术语:网络安全论文 网络安全密钥 网络安全工程师 网络安全技术与应用 网络安全概念股 网络安全知识 网络安全宣传周 网络安全知识竞赛 网络安全事件

主题: 浏览器JavaWindowsLinux美元律师黑客奖金
分页:12
转载请注明
本文标题:Zerodium(ZDI)出价100万美元悬赏Tor浏览器0-day
本站链接:http://www.codesec.net/view/564071.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 业界资讯 | 评论(0) | 阅读(40)