Zerodium 宣布更新漏洞奖励计划,几乎所有产品的赏金数额都有所增长。主要变化如下:
移动平台
(1) 具有持久性的苹果 iOS 远程越狱(零点击)的赏金由150万美元增长至200万美元;
(2) 具有持久性的苹果 iOS 远程越狱(一次点击)的赏金由100万美元增长至150万美元;
(3) WhatsApp、iMessage或 SMS/MMS 远程代码执行漏洞赏金由50万美元增长至100万美元;
(4) Chrome RCE + LPE(安卓),包括沙箱逃逸在内漏洞的赏金由20万美元增长至50万美元;
(5) Safari RCE + LPE(iOS),包括沙箱逃逸在内漏洞的赏金由20万美元增长至50万美元;
(6) 安卓或 iOS 版本的内核或 root 本地权限提升漏洞的赏金由10万美元增长至20万美元;
(7) 安卓或 iOS 版本的本地 pin/密码或 Touch ID 绕过漏洞的赏金由1.5万美元增长至10万美元;
另外,其它产品的漏洞赏金也有所增长,包括通过文档/媒体执行 RCE,通过中间人攻击、ASLR 或 kASLR 绕过、信息披露等执行 RCE等。
服务器/桌面
(1) Windows RCE (零点击),如通过 SMB 或 RDP 数据包,漏洞赏金由50万美元增长至100万美元;
(2) Chrome RCE + RBX (Windows),包括沙箱逃逸,漏洞赏金由25万美元增长至50万美元;
(3) Apache 或 MS IISRCE,即通过 HTTP (S) 执行远程利用,漏洞赏金由25万美元增长至50万美元;
(4) Outlook RCE,即通过恶意邮件执行远程利用,漏洞赏金由15万美元增长至25万美元;
(5) PHP 或OpenSSL RCE,漏洞赏金由15万美元增长至25万美元;
(6) MS Exchange Server RCE,漏洞赏金由15万美元增长至25万美元;
(7) VMWare ESXi VM 逃逸,即 guest-to-host 逃逸,漏洞赏金由10万美元增长至20 万美元;
(8) Windows 本地权限提升或沙箱逃逸,漏洞赏金由5万美元增长至8万美元。
另外,其它产品的奖励也有所增长,包括 Thunderbird、VMWare 工作站、Plesk、cPanel、Webmin、WordPress、7-Zip、WinRAR 等。
用户评论
暂无用户评论