Zerodium悬赏100万美元征集Tor零日漏洞

简介:

Tor是一款常用的网络隐私保护工具,漏洞经纪人Zerodium目前正在收集Tails Linux/Windows环境下运行的Tor浏览器(禁用JavaScript)的零日漏洞,并设置了一百万美元的奖池。



 

不论你使用Tor的匿名浏览是为了保护隐私、逃避审查还是进行暗网交易,你恐怕不会喜欢这个消息:Tor已经成为了靶子,原因是一家漏洞经纪人正在悬赏Tails Linux/Windows环境下运行的Tor浏览器的零日漏洞。这些零日漏洞将卖给在政府雇员Johnny Law。

漏洞经纪人Zerodium今天宣布,将悬赏一百万美元收集Tor浏览器的未知漏洞:

注意:征集Tor浏览器的零日漏洞,奖池100万美元。详情见:https://t.co/2Vz6RqTnBQ。

——Zerodium 2017年9月13日

根据Tor悬赏的说明,漏洞经纪人Zerodium公开征集Tails Linux/Windows环境下运行的Tor浏览器的零日漏洞。奖池共有一百万美元,将持续开放到美国东部时间到2017年11月30日6点,一旦奖金被领取殆尽,该悬赏也会提前关闭。

Zerodium并没有提到Tor网络的隐私保护和安全功能,而是宣称Tor经常“助纣为虐——恶棍们用它实施贩毒、虐待儿童等罪行。

我们之所以针对Tor浏览器设立这个特殊悬赏,是为了帮助政府客户打击犯罪,也是为每个人营造一个更好也更安全的世界。

要想获得悬赏,就必须在禁用JavaScript的情况下找到该浏览器的零日漏洞。这是因为Tor浏览器捆绑了NoScript功能,该功能在默认情况下启用JavaScript拦截,用户必须进行额外的安全操作才能关掉这个功能。

Zerodium的原文如下:

我们的期望很高:我们需要JavaScript禁用的状态下的Tor浏览器漏洞!JavaScript启用状态下的漏洞也可获得赏金,但是金额会有所降低。

根据奖金细则,Zerodium只要功能完全的漏洞,即可以“在目标操作系统上执行远程代码,无论使用当前用户的权限还是无限制的根/系统特权。”攻击过程必须保持悄无声息地进行,不需要用户交互、不触发警告消息或弹出窗口。

Tails Linux/Win10环境下的Tor浏览器的零日漏洞值多少钱?

Tails 3.x (64bit)和Windows 10 RS3/RS2 (64bit)环境下的Tor浏览器漏洞显然是最值钱的。如果能同时实现JavaScript禁用前提下的远程代码执行(RCE)和根/系统的本地权限提升(LPE),奖金可达25万美元。如果只有JavaScript禁用前提下的远程代码执行功能,奖金则是18.5万美元。

如果提交的零日漏洞只能在开启JavaScript的情况下进行RCE和LPE,奖金会缩水到12.5万美元。只能在JavaScript开启情况下进行RCE的漏洞则只值8.5万美元。

Zerodium是一家位于华盛顿的公司,由前Vupen合伙创始人Chaouki Bekrar于2015年创立。该公司于8月份提高了针对安全通讯应用的零日漏洞悬赏额度。该公司表示,漏洞奖金为50万美元,目标除了移动端邮箱应用,还涵盖了WhatsApp、Signal、 Telegram、Facebook Messenger、iMessage、Viber和微信等。

Zerodium这样的漏洞经纪人能比大多数供应商提供更高的漏洞赏额,但是受影响的供应商并不会得到漏洞通知。因此,这些零日漏洞也得不到修补。该漏洞经纪人宣称只会把零日漏洞卖给政府监管组织,但是这恐怕对社会透明度或政府监管水平没什么帮助。有些事情从过去到现在从没变过,财大气粗的美国政府会用这些漏洞去监视记者、持不同政见者等“异己”。


本文转自d1net(转载)

相关文章
|
安全
反病毒专家:愚人节恶搞网站谨防遭黑客攻击
金山毒霸云安全中心日前发出预警,在近期拦截的大量“挂马”、钓鱼等恶意网页中,与“愚人节”相关的,在近一周数量急剧增加。  愚人节怎么整人好玩?近期许多恶搞网站、相关的网络论坛的流量不断攀升。金山毒霸云安全中心日前发布病毒预警提醒广大网友,恶搞他人的同时,小心成为黑客手中的“肉鸡”,被任意摆弄。
1466 0
|
安全 测试技术
金山安全报告:二月漏洞频出 网站挂马猖獗
赚足眼球的“猫癣” 一款早在春节之前就已经发出预警的病毒,在大假结束后还是席卷了国内网络,无论称呼“猫癣”还是“犇牛”,被电脑用户们牢牢记住的都是名为usp10.dll的这个文件。 毒霸推出的“系统急救箱”在解决“猫癣”时发挥了很大的作用,好评不断,但在搜捕“猫癣”的过程中,金山毒霸反病毒工程师对病毒黑色产业链内幕的挖掘更加深入,这些内幕让人十分震惊。
1126 0
|
机器学习/深度学习 云安全 安全
游戏安全资讯精选 2017年第十期 英国彩票网遭遇DDoS攻击,中断90分钟 DNSMASQ多高危漏洞公告 阿里云协助警方破获国内最大黑客攻击案,攻击峰值690G
英国彩票网遭遇DDoS攻击,中断90分钟,DNSMASQ多高危漏洞公告,阿里云协助警方破获国内最大黑客攻击案,攻击峰值690G
1949 0
|
安全 网络安全
美国军方再度更新漏洞赏金计划,这次邀请你黑进空军基地
本文讲的是美国军方再度更新漏洞赏金计划,这次邀请你黑进空军基地,本周三(4月26日),美国空军成为美国军方中又一个面向公众发布漏洞悬赏计划的部门。该漏洞悬赏项目名为“Hack the Air Force”,将邀请符合审核要求的白帽安全专家攻击面向公众的关键空军网站,寻找漏洞,保障空军系统安全。
1329 0
|
监控 安全
Tor也加入了漏洞奖励计划,悬赏4000美元挖漏洞
本文讲的是Tor也加入了漏洞奖励计划,悬赏4000美元挖漏洞,网络黑客猖狂的时代,很多组织除了利用自己的内部资源来完善产品外,还会发动群众(比如白帽子和技术达人)来从外部监控替自己解决问题(比如及时发现和处理潜在安全漏洞)。
1200 0
|
安全 数据安全/隐私保护
又一重大漏洞现身 “疯怪”危及世界互联网安全
本文讲的是又一重大漏洞现身 “疯怪”危及世界互联网安全,安全专家警告,一个潜伏多年的安全漏洞将危及计算机与网页间的加密连接,导致苹果和谷歌产品的用户在访问数十万网站时遭到攻击,包括白宫、国家安全局和联邦调查局的网站,并危及世界互联网安全。
1234 0
下一篇
无影云桌面