Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Płacą ~800 000 PLN za exploita na Thunderbirda oraz ~1 600 000 PLN za exploita na Outlooka
Komuś chyba zależy na pozyskaniu tego typu exploitów, bowiem Zerodium ogłosiło tymczasowe podniesienie cen za exploity na Outlooka oraz Thunderbirda.
Chodzi o podatność, która bez jakiejkolwiek interakcji ofiary umożliwi wykonanie kodu na jej komputerze. Innymi słowy exploit powinien się aktywować jedynie po pobraniu e-maila (nawet bez potrzeby jego otwierania):
We are looking for zero-click exploits leading to remote code execution when receiving/downloading emails in Outlook, without requiring any user interaction such as reading the malicious email message or opening an attachment.
Ktoś słusznie zauważa, że proponowane ceny są przeszło 10 razy wyższe niż oferuje Microsoft (za zgłoszenie buga) czy znacznie wyższe niż RCE w HyperV, który jest ponoć jednym z najbardziej „przepatrzonych” kodów o Microsoftu:
Pozostaje tylko liczyć na odpowiednio wysokie standardy etyczne wśród hackerów. Chociaż zapewne znajdą się i tacy, którzy takowe zasady mają gdzieś, a dość wysoko w hierarchii wartości mają zasoby swojego portfela.
~Michał Sajdak
Czyli co najpierw zgarniamy 1600000 za expoita, a tydz później za znalezienie podatności od m$? Świat zbytnio nie straci, a ty zyskasz dwa razy ;) czas brać się za robotę… Exploit sam się nie napisze
hmmmm zawsze można zrobić exploid zgarnąć kasiurę a później zgłosić buga :D :P
Co to są standardy etyczne?
Że niby ktoś ma spędzić miesiące na szukaniu buga a później za ochłapy wręczyć go dla MS, który nie raz już nas wyrolował ja zero? Haha, dobre…