翻译:360代码卫士
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
Tor浏览器的0day利用现在似乎很抢手,有人愿意出价100万美元
专门购买转售0day漏洞的公司Zerodium刚刚宣布将愿意为Tails Linux和Windows操作系统上的流行Tor浏览器可用0day漏洞最高出价100万美元。
Tor浏览器用户要注意了,尤其是使用Tails OS作为保护隐私方式的用户。
另外,Zerodium公布了一些规则和价格详情,宣布称对未启用JavaScript的Tor利用的价格将是启用了JavaScript的Tor利用价格的两倍。
Zerodium还明确提出,利用必须是远程代码执行漏洞,初始攻击向量是一个网页,而且它应该适用于最新版本的Tor浏览器。此外,这个0day利用的运作除了受害者访问网页之外,必须无需用户其他交互。
其它攻击向量如经由恶意文档传播并不适用于这次奖励计划,但Zerodium可能会酌情专设价码。
Zerodium将向执法机构出售Tor浏览器0day漏洞
尽管0day漏洞市场一直以来都吸引着比大型技术公司出价更高的私营企业的参与,但Zerodium表示想要将Tor浏览器利用转售给执法部门打击犯罪活动。
在一个提问环节,Zerodium公司证实称将会把所购买的Tor 0day漏洞出售给执法部门,而且可能也会出售给商业恶意软件开发公司,后者向政府机构出售监控软件。
Zerodium表示,“在很多情况下,恶意人员使用Tor开展走私毒品或虐待儿童等犯罪活动。我们推出这个特别的Tor浏览器0day漏洞奖励计划就是为了帮助我们的政府打击犯罪活动,让世界变得更美好更安全。”
Tor项目组回应称,破坏其匿名软件的安全会为很多用户的生命带来风险,包括人权卫士、活动家、律师和研究人员等。这个非营利性基金会同时敦促研究人员和黑客负责任地通过其最近推出的漏洞奖励计划披露漏洞。
Tor项目组指出,“我们认为奖励金额是对我们所提供的安全性的证明。我们认为,通过我们自己的漏洞奖励计划披露所有漏洞这一做法符合包括政府机构在内的所有Tor用户的最佳利益。每天,150多万人依靠Tor来保证网络隐私安全,而且对于某些人来说,这是生与死的问题。参与Zerodium的计划会让风险最大的用户受到生命威胁。”
Tor 浏览器 0day RCE利用价目表
Zerodium为Tor浏览器利用提出的价格如下:
感兴趣的人员可在2017年11月30日东部夏季时间下午6点前提交利用。Zerodium还指出,如果支付给研究人员的总款项提前达到100万美元,那么奖励计划可能会在有效期结束前终止。