【国际资讯】Zerodium以100万美元求Tor浏览器0day漏洞以转售给政府

阅读量136017

|

发布时间 : 2017-09-14 12:04:07

x
译文声明

本文是翻译文章,文章来源:thehackernews.com

原文地址:http://thehackernews.com/2017/09/tor-zero-day-exploits.html

译文仅供参考,具体内容表达以及含义原文为准。

http://p6.qhimg.com/t010d855f3c82bf94cd.jpg

翻译:360代码卫士

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

Tor浏览器的0day利用现在似乎很抢手,有人愿意出价100万美元

专门购买转售0day漏洞的公司Zerodium刚刚宣布将愿意为Tails LinuxWindows操作系统上的流行Tor浏览器可用0day漏洞最高出价100万美元。

Tor浏览器用户要注意了,尤其是使用Tails OS作为保护隐私方式的用户。

另外,Zerodium公布了一些规则和价格详情,宣布称对未启用JavaScript的Tor利用的价格将是启用了JavaScript的Tor利用价格的两倍。

Zerodium还明确提出,利用必须是远程代码执行漏洞,初始攻击向量是一个网页,而且它应该适用于最新版本的Tor浏览器。此外,这个0day利用的运作除了受害者访问网页之外,必须无需用户其他交互

其它攻击向量如经由恶意文档传播并不适用于这次奖励计划,但Zerodium可能会酌情专设价码。


Zerodium将向执法机构出售Tor浏览器0day漏洞

尽管0day漏洞市场一直以来都吸引着比大型技术公司出价更高的私营企业的参与,但Zerodium表示想要将Tor浏览器利用转售给执法部门打击犯罪活动。

在一个提问环节,Zerodium公司证实称将会把所购买的Tor 0day漏洞出售给执法部门,而且可能也会出售给商业恶意软件开发公司,后者向政府机构出售监控软件。

Zerodium表示,“在很多情况下,恶意人员使用Tor开展走私毒品或虐待儿童等犯罪活动。我们推出这个特别的Tor浏览器0day漏洞奖励计划就是为了帮助我们的政府打击犯罪活动,让世界变得更美好更安全。”

Tor项目组回应称,破坏其匿名软件的安全会为很多用户的生命带来风险,包括人权卫士、活动家、律师和研究人员等。这个非营利性基金会同时敦促研究人员和黑客负责任地通过其最近推出的漏洞奖励计划披露漏洞。

Tor项目组指出,“我们认为奖励金额是对我们所提供的安全性的证明。我们认为,通过我们自己的漏洞奖励计划披露所有漏洞这一做法符合包括政府机构在内的所有Tor用户的最佳利益。每天,150多万人依靠Tor来保证网络隐私安全,而且对于某些人来说,这是生与死的问题。参与Zerodium的计划会让风险最大的用户受到生命威胁。”


Tor 浏览器 0day RCE利用价目表

ZerodiumTor浏览器利用提出的价格如下

http://p3.qhimg.com/t017de0cb9078abfe4e.png

感兴趣的人员可在2017年11月30日东部夏季时间下午6点前提交利用。Zerodium还指出,如果支付给研究人员的总款项提前达到100万美元,那么奖励计划可能会在有效期结束前终止。

本文翻译自thehackernews.com 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
奇安信代码卫士
分享到:微信

发表评论

奇安信代码卫士

奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。微信公号:codesafe。

  • 文章
  • 387
  • 粉丝
  • 104

热门推荐

文章目录
内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66