E安全9月15日讯 企业和政府机构通过漏洞悬赏计划寻找产品和软件中存在的漏洞，包括0Day漏洞，以防被网络犯罪分子利用造成大规模损害。

美国信息安全公司、漏洞交易平台Zerodium本周三发布针对Tor浏览器的0Day漏洞悬赏计划，悬赏金额总额高达100万美元（约合人民币655万元），其目的是让黑客和网络安全研究人员寻找Tails Linux和Windows操作系统Tor浏览器中存在的0Day漏洞。

提交的必须是独有、未知、未发布、未报告的0Day漏洞，且必须绕过所有适用于各类目标分类的漏洞利用缓解方案。

初始的攻击途径必须是针对最新版Tor浏览器的网页，整个利用过程应当秘密实现，无需触发任何信息或弹出窗口，除访问网页之外无需用户交互。Zerodium公司要求研究人员们提供能够诱导目标用户访问特定网页的漏洞。

提交JavaScript漏洞利用虽然符合条件，但在JavaScript屏蔽条件下可实现Tor浏览器入侵的全功能的0Day漏洞利用赏金将更高。

下表为该公司开出的完整漏洞赏金信息：

能够实现远程代码执行以及本地权限升级的漏洞将可获得高达25万美元奖金，但前提是需要能够在Windows 10及Tails 3.x系统上禁用JavaScript的Tor浏览器中起效。如果研究人员发现的漏洞只能够在其中某一操作系统上起效，仍可拿到20万美元奖金。

仅适用于单一操作系统的安全漏洞可换得20万美元奖金。而在禁用JavaScript的条件下，单纯远程代码执行漏洞（不包含权限提升功能）的相关信息则可获得18.5万美元。
另外，在启用JavaScript时方可起效的漏洞若可同时实现远程代码执行与权限提升能力，也能够获得12.5万美奖金; 若单纯可实现代码执行，则奖金为8.5万美元。

被发现的漏洞将出售给政府执法机构

Zerodium在其官方公告不会与Tor共享这些0Day漏洞，因为启动这类特殊计划的唯一目的是帮助政府客户打击犯罪，构建更加美好、安全的社会。这些漏洞同时也可能出售给向政府机构出售监控软件的商业恶意软件开发公司。

Zerodium指出，虽然Tor网络和Tor浏览器是相当出色的项目，允许合法用户改进互联网隐私与安全，但在许多情况下恶意分子利用Tor网络和浏览器从事贩毒等非法活动。

注意！漏洞提交截止时间在此！

这项计划的截止时间为今年2017年11月30日东部夏季时间下午6点，如果赏金支付总额在这个截止时间之前提前达到100万美元，该漏洞赏金计划也将提前结束。

Zerodium过去几年一直在执行漏洞悬赏计划。今年8月，该公司启动入侵Messenger 应用程序的计划，涉及的对象包括Telegram、微信、iMessage、WhatsApp、Signal和Facebook Messenger。

Zerodium还曾邀请黑客寻找iPhone中的0Day漏洞，并远程入侵设备，提供150万美元（约合人民币982万元）作为赏金。此外，Windows 10、Chrome、Firefox、WordPress等也是黑客施展才能的平台。

由于Zerodium建议与政府共享这些漏洞利用，因此隐私倡导者的反应相当重要，几个月前，微软曾抨击美国政府机构不与厂商共享漏洞、囤积漏洞的行为。

Tor网络今年7月也推出了首个公开漏洞悬赏计划，但最高悬赏金只有4000美元。

详细要求见，https://zerodium.com/tor.html

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/252740525.shtml