Nul
Zerodium is gestart met een nieuwe regeling voor de snap zero-day kwetsbaarheden invloed op de Tor Browser.
De eigen exploiteren verkoper heeft de beloofde beloningen van $1 miljoen dollar voor geldig, voorheen onbekende kwetsbaarheden in de beveiliging voor Tor Browser op de Staart Linux en Windows.
De bug bounty heeft een tijdslimiet, echter, en geldig bugs moeten worden ingediend uiterlijk op 30 November 2017.
Als het bedrijf realiseert wat hij wil en uitbetalingen bereiken van de één miljoen mark, dan is het programma kan worden afgesloten eerder.
“Met de toename van het aantal (en de effectiviteit) van de te exploiteren oplossingen op moderne systemen, exploitatie browser kwetsbaarheden wordt steeds moeilijker elke dag, maar toch, gemotiveerde onderzoekers zijn altijd in staat om het ontwikkelen van nieuwe browser exploits, ondanks de complexiteit van de taak, dankzij hun vaardigheden en een beetje van scripting talen zoals JavaScript,” Zerodium zei op woensdag.
De Tor Browser wordt gebruikt door het algemene publiek, activisten, journalisten, en degenen die het omzeilen van censuur belemmeringen in sommige landen.
Gebruikers weten dat het uitschakelen van JavaScript is zeer aan te bevelen, als de software wordt voortdurend bijgewerkt met patches op te lossen bugs en u niet zeker van kan zijn dat JavaScript niet verlenen van een laan voor te exploiteren.
Met dit in het achterhoofd, Zerodium dringt erop aan dat kwetsbaarheden gerapporteerd aan het bedrijf moet werken met JavaScript geblokkeerd voor de hoge beloningen. Er zijn een aantal omstandigheden waar kwetsbaarheden ontwikkeld met een JavaScript-functionele Tor sessie in aanmerking voor een uitbetaling, echter.
De beloningen worden uiteengezet hieronder:
“Het onderzoek moet rekenen op exclusieve, onbekende, niet-gepubliceerde en niet-aangegeven zero-dagen, en moet overslaan alle exploiteren oplossingen van toepassing zijn op elke categorie,” Zerodium zegt. “De eerste aanval, moet een web pagina op de recentste versies van de Tor Browser (Stabiel + Experimenteel) in een niet-standaard/gehard configuratie waarin JavaScript is geblokkeerd voor alle websites (Tor beveiligingsinstellingen voor de Browser instellen: Hoog), of in de standaard configuratie (Tor Browser beveiligingsinstellingen ingesteld op Laag (standaard)).”
Het bedrijf wil geen exploit “eigen controle of manipulatie van Tor-nodes, of-misbruik/aanvallen die zou leiden tot een verstoring van het Tor-netwerk.”
Tot uitvoering van externe code mogelijk moet zijn door middel van de zero-day exploit, en geen interactie met de gebruiker dient plaats te vinden, behalve het bezoeken van een webpagina — hoewel het exploiteren verkoper is geïnteresseerd in andere aanval vectoren, zoals het openen van een document, buiten de bug bounty ‘ programma.
Zoals u mag verwachten, Zerodium verwacht het rapport worden uitsluitend gemaakt voor hen, om te worden verkocht vanaf.
De Tor Browser wordt gebruikt door vele als een legitieme manier om een masker van hun online activiteiten, maar de verkoper zegt hun “regering” klanten hebben behoefte aan dergelijke aanvallen te verijdelen “lelijke mensen” die uit te voeren activiteiten, met inbegrip van “drugshandel of seksueel misbruik.”
“We zijn gestart met deze speciale premie voor Tor Browser zero-dagen om te helpen onze klanten van de overheid de bestrijding van criminaliteit en de wereld een betere en veiligere plek voor alle,” het bedrijf zegt.
Onderzoekers en bug bounty hunters blij om te verkopen uit hun bevindingen voor hoge financiële beloningen zullen worden tegen het echter. In juli, de non-profit lanceerde haar eigen bug bounty ‘ programma om te voorkomen dat de identiteit van de Tor-gebruikers zijn ontmaskerd.
Vorige en aanverwante dekking
FBI gebruikt Hacking Team services te ontmaskeren Tor gebruiker Tor netwerk betaalt u om te hacken door middel van nieuwe bug bounty ‘ programma Tor Project verhoogt de ondersteuning voor anonieme mobiel browsen
Meer nieuws over beveiliging
Doet Face ID om de iPhone X beter te beveiligen? Hangt af van wie vraagt
Microsoft patches voor Office zero-day gebruikt om te verspreiden FinSpy toezicht malware
Windows 10 Subsysteem voor Linux: Hier is hoe hackers kunnen gebruiken om malware te verbergen
Beveiligingsfouten zet miljarden van Bluetooth telefoons, apparaten in gevaar
0