Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Płacą ~800 000 PLN za exploita na Thunderbirda oraz ~1 600 000 PLN za exploita na Outlooka

28 stycznia 2022, 20:55 | W biegu | komentarze 3

Komuś chyba zależy na pozyskaniu tego typu exploitów, bowiem Zerodium ogłosiło tymczasowe podniesienie cen za exploity na Outlooka oraz Thunderbirda.

Chodzi o podatność, która bez jakiejkolwiek interakcji ofiary umożliwi wykonanie kodu na jej komputerze. Innymi słowy exploit powinien się aktywować jedynie po pobraniu e-maila (nawet bez potrzeby jego otwierania):

We are looking for zero-click exploits leading to remote code execution when receiving/downloading emails in Outlook, without requiring any user interaction such as reading the malicious email message or opening an attachment.

Ktoś słusznie zauważa, że proponowane ceny są przeszło 10 razy wyższe niż oferuje Microsoft (za zgłoszenie buga) czy znacznie wyższe niż RCE w HyperV, który jest ponoć jednym z najbardziej „przepatrzonych” kodów o Microsoftu:

Pozostaje tylko liczyć na odpowiednio wysokie standardy etyczne wśród hackerów. Chociaż zapewne znajdą się i tacy, którzy takowe zasady mają gdzieś, a dość wysoko w hierarchii wartości mają zasoby swojego portfela.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Js

    Czyli co najpierw zgarniamy 1600000 za expoita, a tydz później za znalezienie podatności od m$? Świat zbytnio nie straci, a ty zyskasz dwa razy ;) czas brać się za robotę… Exploit sam się nie napisze

    Odpowiedz
  2. Tomek

    hmmmm zawsze można zrobić exploid zgarnąć kasiurę a później zgłosić buga :D :P

    Odpowiedz
  3. Kamil

    Co to są standardy etyczne?

    Że niby ktoś ma spędzić miesiące na szukaniu buga a później za ochłapy wręczyć go dla MS, który nie raz już nas wyrolował ja zero? Haha, dobre…

    Odpowiedz

Odpowiedz