Microsoft จะเพิ่มการจ่ายเงินสำหรับข้อบกพร่องบางอย่างขึ้น 400,000 เหรียญสหรัฐในช่วงเวลาจำกัด

Zerodium แพลตฟอร์มการเข้าซื้อกิจการ Exploit ได้เพิ่มการจ่ายเงินสำหรับ RCE ที่ไม่มีคลิกใน Microsoft Outlook จาก 250,000 ดอลลาร์เป็น 400,000 ดอลลาร์

ช่องโหว่ Zero-click ทำให้ผู้โจมตีสามารถประนีประนอมพีซีและเครือข่ายโดยไม่ต้องมีการโต้ตอบกับผู้ใช้ บริษัทหนึ่งที่ซื้อการหาประโยชน์ดังกล่าว Zerodium โครงร่างการเปลี่ยนแปลงในหน้าค่าหัวบั๊กในเวลาจำกัด

เลิกหาประโยชน์

การโจมตีทางไซเบอร์บางอย่าง เช่น อีเมลฟิชชิ่งหรือข้อความโต้ตอบแบบทันที ต้องการให้ผู้คนโต้ตอบกับการโจมตีเพื่อเริ่มการโจมตี ช่องโหว่ Zero-click ไม่ต้องการการโต้ตอบ ซึ่งทำให้อันตรายยิ่งขึ้นไปอีก

“เรากำลังเพิ่มการจ่ายเงินชั่วคราวสำหรับ Microsoft Outlook RCE จาก $250,000 เป็น $400,000” Zerodium กล่าว “เรากำลังมองหาช่องโหว่ Zero-click ที่นำไปสู่การเรียกใช้โค้ดจากระยะไกลเมื่อรับ/ดาวน์โหลดอีเมลใน Outlook โดยไม่ต้องมีการโต้ตอบใดๆ กับผู้ใช้ เช่น การอ่านข้อความอีเมลที่เป็นอันตรายหรือการเปิดและ สิ่งที่แนบมา การหาประโยชน์จากการเปิด/อ่านอีเมลอาจได้รับผลตอบแทนที่ต่ำกว่า”

instagram story viewer

Zerodium เป็นบริษัทรักษาความปลอดภัยที่เชี่ยวชาญในการจัดหาและขายต่อการหาประโยชน์และช่องโหว่ซีโร่เดย์ ลูกค้าหลักของบริษัทคือหน่วยงานราชการในอเมริกาเหนือและยุโรป

การจ่ายเงินที่เพิ่มขึ้น

Microsoft เพิ่มการจ่ายเงินสำหรับ RCE แบบไม่ต้องคลิกของ Outlook ในวันที่ 27 มกราคม 2022 พวกเขาจะดำเนินต่อไปจนถึงวันที่ไม่เปิดเผย

Microsoft เสนอเงินรางวัลตั้งแต่ 5,000 ถึง 250,000 ดอลลาร์สำหรับรายงานช่องโหว่ในซอฟต์แวร์ บริษัทจ่ายเงิน 13.6 ล้านดอลลาร์สำหรับรางวัลบั๊กระหว่างเดือนกรกฎาคม 2563 ถึงกรกฎาคม 2564

บั๊กของไมโครซอฟต์ การจ่ายเงินรางวัลน้อยกว่าของ Zerodium; ค่าหัวจะแตกต่างกันไปตามความรุนแรงของช่องโหว่ที่ค้นพบ

คุณคิดอย่างไรกับแนวทางของ Microsoft ในการแก้ไขข้อผิดพลาดนี้ แบ่งปันความคิดของคุณกับเราในส่วนความคิดเห็นด้านล่าง