- מיקרוסופט תשלם לכל היותר 400,000 $ עבור באגים ב-Outlook, למרות שהחברה לא חשפה כמה זמן תוכנית השפע תהיה זמינה.
- Zerodium, פלטפורמת רכישת ניצול, הגדילה את השפע שלה עבור ביצוע קוד מרחוק באפס קליקים ב-Microsoft Outlook מ-$250,000 ל-$400,000.
- הלקוחות של Zerodium הם בעיקר סוכנויות ממשלתיות בצפון אמריקה ואירופה.
ניצול פלטפורמת הרכישה Zerodium הגדילה את התשלום עבור RCEs בלחיצת אפס ב-Microsoft Outlook מ-$250,000 ל-$400,000.
ניצול אפס קליקים מאפשרים לתוקפים לסכן מחשבים ורשתות מבלי לדרוש אינטראקציה של המשתמש. חברה אחת שרוכשת ניצולים כאלה, Zerodium, מתארת את השינוי בדף פרס הבאגים לזמן מוגבל שלה.
הפעל את הניצול
מתקפות סייבר מסוימות, כמו מיילים דיוגים או הודעות מיידיות, מחייבות אנשים לקיים אינטראקציה עם מתקפה כדי להתחיל את הניצול. ניצול אפס קליקים אינם דורשים אינטראקציה, מה שהופך אותם למסוכנים אפילו יותר.
"אנחנו מגדילים באופן זמני את התשלום שלנו עבור Microsoft Outlook RCE מ-$250,000 ל-$400,000", ציין Zerodium. "אנו מחפשים ניצול אפס קליקים המובילים לביצוע קוד מרחוק בעת קבלת/הורדת מיילים ב Outlook, ללא צורך באינטראקציה כלשהי של משתמש כגון קריאת הודעת הדוא"ל הזדונית או פתיחת הִתקַשְׁרוּת. ניצול להסתמך על פתיחה/קריאת דוא"ל עשוי להירכש תמורת פרס נמוך יותר."
Zerodium היא חברת אבטחה המתמחה ברכישה ומכירה חוזרת של ניצול ופגיעות של יום אפס. הלקוחות העיקריים שלה הם סוכנויות ממשלתיות בצפון אמריקה ואירופה.
תשלום מוגבר
מיקרוסופט הגדילה את התשלום עבור RCE עם אפס קליקים של Outlook ב-27 בינואר 2022. הם יימשכו עד תאריך לא ידוע.
מיקרוסופט מציעה פרסים מ-5,000 עד 250,000 דולר עבור דיווחים על נקודות תורפה בתוכנה שלה. החברה שילמה 13.6 מיליון דולר עבור תגמול באגים בין יולי 2020 ליולי 2021.
הבאג של מיקרוסופט תשלום הבאונטי נמוך מזה של Zerodium; ערכי השפע משתנים בהתאם לחומרת הפגיעות שהתגלתה.
מה דעתך על הדרך של מיקרוסופט לעקוף את הבאגים? שתף אותנו במחשבותיך בקטע התגובות למטה.
