Брокер эксплойтов Zerodium объявил о повышении вознаграждения до 400 000 за уязвимости нулевого дня, которые позволяют удаленное выполнение кода (RCE) в почтовом клиенте Microsoft Outlook.
Новая выплата не является постоянной, говорится в коротком твите компании, но дата окончания подачи заявок еще не разглашается.
Ожидаются эксплойты с нулевым кликом
Обычная награда Zerodium за уязвимость RCE в Microsoft Outlook для Windows составляет 250 000 долларов, и ожидается, что она будет «сопровождаться полнофункциональным и надежным эксплойтом».За 400 000 долларов Zerodium ожидает эксплойт, который обеспечивает удаленное выполнение кода без какого-либо взаимодействия, так называемый «нулевой щелчок», когда почтовый клиент Microsoft получает или загружает сообщения.
«Мы временно увеличиваем нашу выплату за RCE Microsoft Outlook с 250 000 до 400 000 долларов. Мы ищем эксплойты с нулевым кликом, приводящие к удаленному выполнению кода при получении/загрузке электронной почты в Outlook, не требующие какого-либо взаимодействия с пользователем, такого как чтение вредоносного сообщения электронной почты или открытие вложения», — Zerodium.
Компания не исключает вознаграждения за эксплойты, которые требуют открытия или чтения электронной почты, хотя отправитель получит меньшую выплату, которая не разглашается.
Zerodium также напоминает, что в настоящее время предлагает до 200 000 долларов за эксплойты, ведущие к удаленному выполнению кода в Mozilla Thunderbird, и такая же сумма предлагается с 2019 года.
источник: Зеродиум
Для выплат за эксплойты для Mozilla Thunderbird применяются те же условия, что и в случае с Microsoft Outlook. RCE в почтовом клиенте предоставит злоумышленникам доступ ко всем доступным учетным записям.
Хотя компания не указала дату окончания отправки эксплойтов Microsoft Outlook с нулевым кликом, этот период может быть довольно длительным.
31 марта 2021 года Zerodium объявил, что временно утроил награду за эксплойты WordPress RCE, и предложение остается в силе и сегодня.
Регулярная выплата за эксплойт в самой популярной системе управления контентом с открытым исходным кодом (CMS) составляет 100 000 долларов.
На данный момент только WordPress, Mozilla Thunderbird и Microsoft Outlook указаны как активные на странице с временно повышенными наградами.
Срок действия недавно истекших временных предложений касается RCE и побега из песочницы в Google Chrome (до 400 000 долларов США) и RCE на сервере VMware vCenter (до 150 000 долларов США).
Перевод - Google
Bleeping Computer