ZERODIUM ยื่นข้อเสนอซื้อช่องโหว่ Zero-Day Exploits สำหรับ Tor Browser สูงถึง 1 ล้านเหรียญดอลลาร์

ZERODIUM บริษัทนายหน้ารับซื้อช่องโหว่ของซอฟต์แวร์ชื่อดัง ประกาศยื่นข้อเสนอซื้อช่องโหว่ของ Tor Browser ในราคาสูงสุดถึง 1,000,000 เหรียญดอลลาร์สหรัฐหรือราวๆ 33 ล้านบาท สำหรับช่องโหว่แบบ zero-day exploits

Credit: Zerodium

 

กลายเป็นข่าวใหญ่ในวงการความปลอดภัยไซเบอร์ เมื่อบริษัท ZERODIUM นักจัดหาช่องโหว่ของซอฟต์แวร์รายใหญ่ประกาศรับซื้อช่องโหว่ของ Tor Browser ในราคาสูง เตรียมขายให้กับหน่วยงานราชการ ถึงแม้ว่าในปัจจุบันการค้นพบช่องโหว่ต่างๆ ของ browser เองจะน้อยลงและยากขึ้นทุกวัน แต่ครั้งนี้ ZERODIUM ตั้งรางวัลสูงสุดให้กับผู้ที่ค้นพบช่องโหว่ของ Tor Browser แบบที่ disable JavaScript ซึ่งปกติ Tor จะ disable JavaScript เป็นค่าตั้งต้นอยู่แล้ว ทำให้การหาช่องโหว่ได้ค่อนข้างยากและท้าทาย ส่วนใครก็ตามที่สามารถหาช่องโหว่ของ Tor แบบที่ enable JavaScript ได้ ทาง ZERODIUM ก็รับซื้อเช่นกัน แต่ในราคาที่ต่ำลงไป

สำหรับรายการรับซื้อมีดังนี้
  • ช่องโหว่ที่สามารถ Exploits ได้บน Tails 3.x (64bit) และ Windows 10 RS3/RS2 (64bit)
    • RCE+LPE to Root/SYSTEM without JavaScript: $250,000
    • Only RCE (No LPE) without JavaScript: $185,000
    • RCE+LPE to Root/SYSTEM with JavaScript: $125,000
    • Only RCE (No LPE) with JavaScript: $85,000
  • ช่องโหว่ที่สามารถ Exploits ได้บน Tails 3.x (64bit) หรือ Windows 10 RS3/RS2 (64bit)
    • RCE+LPE to Root/SYSTEM without JavaScript: $200,000
    • Only RCE (No LPE) without JavaScript: $175,000
    • RCE+LPE to Root/SYSTEM with JavaScript: $100,000
    • Only RCE (No LPE) with JavaScript: $75,000

โครงการนี้มีระยะเวลาถึงวันที่ 30 พฤศจิกายน 2017 แต่อาจจะปิดโครงการก่อน ถ้าจำนวนเงินที่จ่ายให้กับผู้ค้นพบช่องโหว่มีจำนวนเกิน 1 ล้านเหรียญฯ โดย ZERODIUM จะจ่ายเงินให้กับใครก็ตามที่สามารถพิสูจน์ได้ว่าช่องโหว่นั้นสามารถใช้งานได้จริงใน Tor Browser ทั้งบน Tail Linux และ Windows

สำหรับผู้ที่สนใจในโครงการ Exploit Acquisition ของ ZERODIUM สามารถเข้าไปดูรายการรับซื้ออื่นๆ ได้ที่ https://zerodium.com/program.html

ที่มา: https://zerodium.com/tor.html

About นักเขียนฝึกหัดหมายเลข 3

Check Also

ผู้เชี่ยวชาญเตือนพบช่องโหว่ Zero-day กระทบผู้ใช้ Zyxel หลายรุ่น เสี่ยงต่อการถูกโจมตี

มีการค้นพบช่องโหว่ Zero-day ในผลิตภัณฑ์ Zyxel หลายรุ่น ซึ่งพบการโจมตีจริงแล้ว แแต่ที่ผู้เชี่ยวชาญแสดงความเป็นห่วงงเพราะทาง Vendor ยืนยันว่าผลิตภัณฑ์เหล่านั้นหมดอายุไปแล้วและจะไม่มีการแพตช์ ทำให้ผู้ใช้งานอาจเป็นเป้านิ่งสำหรับ Botnet หรือ การโจมตีทางไซเบอร์

Cisco แก้ไขช่องโหว่ร้ายแรงบน ISE ที่อาจถูกใช้รันคำสั่งในระดับ Root

Cisco ออกแพตช์แก้ไขช่องโหว่ความปลอดภัยระดับ Critical จำนวน 2 รายการบนแพลตฟอร์ม Identity Services Engine (ISE) ซึ่งอาจถูกใช้เพื่อยกระดับสิทธิ์และรันคำสั่งในระดับ Root ได้