一個Tor瀏覽器0day漏洞價值100萬美元,其中的隱情是……
據外媒報道稱,Zerodium(一家專門購買和轉售零日漏洞的公司)近日剛剛宣布,它願意為Tails Linux和Windows操作系統上流行的Tor瀏覽器可用零日漏洞支付高達100萬美元的賞金。
Tor瀏覽器用戶應該將該消息作為一個早期預警,尤其是那些使用Tails操作系統來保護其隱私的用戶。此外,該零日漏洞收購平台也在其網站上發布了一些規則和支付細節,宣布其對「未使用JavaScript」的Tor漏洞的收購價格將是「使用了JavaScript」的Tor漏洞的兩倍。
該公司還清楚地提出,漏洞利用必須是遠程代碼執行漏洞,初始攻擊向量應該是一個網頁,且它應該適用於最新版本的Tor瀏覽器。此外,該Tor零日漏洞的運作除了受害者訪問網頁之外,必須無需任何用戶交互。其它攻擊向量,例如通過惡意文件傳輸並不適用於此次漏洞收購計劃,但是Zerodium公司可能也會針對該情況,酌情定製收購價格。
Zerodium將向執法機構出售Tor瀏覽器零日漏洞
儘管對私營企業而言,零日漏洞市場長期以來一直都是一塊有利可圖的業務,它們經常會為爭奪一些尚未公開的零日漏洞,支付比大型技術公司更高的價格,但是Zerodium表示,它希望將Tor瀏覽器的漏洞轉售給執法部門,用來打擊犯罪活動。
在一個提問環節中,Zerodium公司已經證實稱,它將向執法機構出售自己購買的Tor 瀏覽器零日漏洞,而且可能也會將其出售給為政府機構提供間諜軟體的商業惡意軟體開發公司。
Zerodium公司表示,
「在很多情況下,Tor瀏覽器會被一些惡意人士用於進行販賣毒品或虐待兒童等非法活動,我們如今為Tor瀏覽器推出了這個特別的零日漏洞獎勵計劃,目的就是為了幫助我們的政府客戶打擊犯罪活動,使世界變得更美好,更安全。」
為了回應Zerodium的漏洞賞金計劃,Tor項目組表示,破壞其匿名軟體的安全性可能會危及很多用戶的生命安全,包括維權人士、活動家、律師以及研究人員等依賴該匿名軟體的用戶。
該非營利性基金會還敦促研究人員以及黑客可以通過其最近推出的漏洞獎勵計劃負責任地披露Tor瀏覽器中的安全漏洞。
Tor項目組發言人在接受採訪時表示,
「我們認為,這筆獎金是對我們所提供的安全性的證明。我們認為,通過我們自己的漏洞獎勵計劃披露所有漏洞,這一做法將實現所有Tor用戶(包括政府機構在內)的最大利益。每天有超過150萬人依靠Tor來保證他們自身的網路隱私安全,而且對於一些人來說,甚至是涉及生死的大問題。參與Zerodium公司的計劃會使我們風險最大的用戶的生命受到威脅。」
Tor 瀏覽器零日漏洞利用價目表
以下是Zerodium公司為Tor瀏覽器漏洞利用提供的價格清單:
未使用JavaScript的Tails 3.x (64位)和Windows 10 RS3/RS2 (64位)Tor瀏覽器Root/系統遠程代碼執行漏洞(RCE)和本地提權漏洞(LPE):價值25萬美元;n未使用JavaScript的Tails 3.x (64位)或Windows 10 RS3/RS2 (64位)Tor瀏覽器Root/系統遠程代碼執行漏洞(RCE)和本地提權漏洞(LPE):價值20萬美元;n使用JavaScript的Tails 3.x (64位)和Windows 10 RS3/RS2 (64位)Tor瀏覽器Root/系統遠程代碼執行漏洞(RCE)和本地提權漏洞(LPE):價值12.5萬美元;n使用JavaScript的Tails 3.x (64位)或Windows 10 RS3/RS2 (64位)Tor瀏覽器Root/系統遠程代碼執行漏洞(RCE)和本地提權漏洞(LPE):價值10萬美元;n未使用JavaScript的Tails 3.x (64位)和Windows 10 RS3/RS2 (64位)Tor瀏覽器遠程代碼執行漏洞(RCE):價值18.5萬美元;n未使用JavaScript的Tails 3.x (64位)或Windows 10 RS3/RS2 (64位)Tor瀏覽器遠程代碼執行漏洞(RCE):價值17.5萬美元;n使用JavaScript的Tails 3.x (64位)和Windows 10 RS3/RS2 (64位)Tor瀏覽器遠程代碼執行漏洞(RCE):價值8.5萬美元;n使用JavaScript的Tails 3.x (64位)或Windows 10 RS3/RS2 (64位)Tor瀏覽器遠程代碼執行漏洞(RCE):價值7.5萬美元;n
對此漏洞懸賞計劃感興趣的人士可以在2017年11月30日下午6點前(東部夏令時,EDT)提交自己的零日漏洞。此外,該公司還指出,如果支付給研究人員的總支出達到100萬美元,那麼該漏洞獎勵計劃可能會在有效期結束前提前終止。
本文翻譯自:http://thehackernews.com/2017/09/tor-zero-day-exploits.html,如若轉載,請註明原文地址: http://www.4hou.com/info/news/7646.html
推薦閱讀:
※給定一段16進位碼密文,如何判斷其所用加密演算法?
※i春秋收費為何那麼高?
※是否有合適的工具(隨身攜帶)快速抹除快遞單等包含敏感信息?
※Windows修復兩個嚴重遠程代碼執行漏洞(CVE-2017-8543/8464)