圖片來源: 

Zerodium

專門出售攻擊程式予政府機構的Zerodium在本周三(9/13)宣布將以總金額100萬美元收購基於Tails Linux及Windows平台上的Tor瀏覽器零時差攻擊程式。

Zerodium說,有鑑於現代系統上的利用緩解(exploit mitigation)數量愈來愈多也愈來愈具效益,開採瀏覽器漏洞變得益發困難,但總是有研究人員能夠開發新的瀏覽器攻擊程式,因此該公司決定高價收購封鎖JavaScript的Tor瀏覽器的全功能零時差攻擊程式。

Tor瀏覽器的預設配置是允許執行JavaScript的,屬於低階安全等級,若要提高安全等級則可選擇封鎖JavaScript。Zerodium同時提供這兩種配置的攻擊程式價碼,但金額有所不同,例如低安全等級的RCE攻擊程式收購價為8.5萬美元,RCE+LPE攻擊程式的收購價為12.5萬美元,若是高安全等級的RCE攻擊程式收購價則是18.5萬美元,RCE+LPE攻擊程式的收購價則是25萬美元。

合乎收購資格的攻擊程式必須利用獨家且尚未曝光的零時差漏洞,也必須能繞過所有的利用緩解機制,此外,這些攻擊程式也必須是可靠且功能齊全的,能夠在目標系統上執行遠端程式攻擊,或是取得系統權限。

針對Tor瀏覽器的攻擊程式收購期限為今年的11月30日,若在之前就花光了100萬美元則會提前截止。

Zerodium持續懸賞各種產品的零時差攻擊程式,從桌面作業系統、瀏覽器、行動平台、網路伺服器、電子郵件伺服器、網路應用程式,甚至是行動傳訊程式等。


Advertisement

更多 iThome相關內容