- Microsoft จะจ่ายเงินสูงสุด $400,000 สำหรับจุดบกพร่องใน Outlook แม้ว่าบริษัทจะไม่ได้เปิดเผยว่าโปรแกรมล่ารางวัลนั้นจะใช้งานได้นานเท่าใด
- Zerodium ซึ่งเป็นแพลตฟอร์มการหาช่องโหว่ ได้เพิ่มเงินรางวัลสำหรับการเรียกใช้โค้ดจากระยะไกลแบบไม่ต้องคลิกใน Microsoft Outlook จาก 250,000 ดอลลาร์เป็น 400,000 ดอลลาร์
- ลูกค้าของซีโรเดียมส่วนใหญ่เป็นหน่วยงานราชการในอเมริกาเหนือและยุโรป
Zerodium แพลตฟอร์มการเข้าซื้อกิจการ Exploit ได้เพิ่มการจ่ายเงินสำหรับ RCE ที่ไม่มีคลิกใน Microsoft Outlook จาก 250,000 ดอลลาร์เป็น 400,000 ดอลลาร์
ช่องโหว่ Zero-click ทำให้ผู้โจมตีสามารถประนีประนอมพีซีและเครือข่ายโดยไม่ต้องมีการโต้ตอบกับผู้ใช้ บริษัทหนึ่งที่ซื้อการหาประโยชน์ดังกล่าว Zerodium โครงร่างการเปลี่ยนแปลงในหน้าค่าหัวบั๊กในเวลาจำกัด
เลิกหาประโยชน์
การโจมตีทางไซเบอร์บางอย่าง เช่น อีเมลฟิชชิ่งหรือข้อความโต้ตอบแบบทันที ต้องการให้ผู้คนโต้ตอบกับการโจมตีเพื่อเริ่มการโจมตี ช่องโหว่ Zero-click ไม่ต้องการการโต้ตอบ ซึ่งทำให้อันตรายยิ่งขึ้นไปอีก
“เรากำลังเพิ่มการจ่ายเงินชั่วคราวสำหรับ Microsoft Outlook RCE จาก $250,000 เป็น $400,000” Zerodium กล่าว “เรากำลังมองหาช่องโหว่ Zero-click ที่นำไปสู่การเรียกใช้โค้ดจากระยะไกลเมื่อรับ/ดาวน์โหลดอีเมลใน Outlook โดยไม่ต้องมีการโต้ตอบใดๆ กับผู้ใช้ เช่น การอ่านข้อความอีเมลที่เป็นอันตรายหรือการเปิดและ สิ่งที่แนบมา การหาประโยชน์จากการเปิด/อ่านอีเมลอาจได้รับผลตอบแทนที่ต่ำกว่า”
Zerodium เป็นบริษัทรักษาความปลอดภัยที่เชี่ยวชาญในการจัดหาและขายต่อการหาประโยชน์และช่องโหว่ซีโร่เดย์ ลูกค้าหลักของบริษัทคือหน่วยงานราชการในอเมริกาเหนือและยุโรป
การจ่ายเงินที่เพิ่มขึ้น
Microsoft เพิ่มการจ่ายเงินสำหรับ RCE แบบไม่ต้องคลิกของ Outlook ในวันที่ 27 มกราคม 2022 พวกเขาจะดำเนินต่อไปจนถึงวันที่ไม่เปิดเผย
Microsoft เสนอเงินรางวัลตั้งแต่ 5,000 ถึง 250,000 ดอลลาร์สำหรับรายงานช่องโหว่ในซอฟต์แวร์ บริษัทจ่ายเงิน 13.6 ล้านดอลลาร์สำหรับรางวัลบั๊กระหว่างเดือนกรกฎาคม 2563 ถึงกรกฎาคม 2564
บั๊กของไมโครซอฟต์ การจ่ายเงินรางวัลน้อยกว่าของ Zerodium; ค่าหัวจะแตกต่างกันไปตามความรุนแรงของช่องโหว่ที่ค้นพบ
คุณคิดอย่างไรกับแนวทางของ Microsoft ในการแก้ไขข้อผิดพลาดนี้ แบ่งปันความคิดของคุณกับเราในส่วนความคิดเห็นด้านล่าง
