Zerodium 最高出价50万美元买VMware ESXi 和微软 Hyper-V 洞
编译:代码卫士团队
上周,利用代码收购公司 Zerodium宣布称,准备最高支付50万美元购买 VMware ESXi 和微软 Hyper-V 漏洞。
Zerodium 公司表示正在寻找能够导致 guest-to-host 逃逸的 ESXi (vSphere) 和 Hyper-V利用代码。这些利用代码要求能够在默认配置上运行,必须是可靠的,而且必须允许攻击者能够获得对主机的完全访问权限。
截至目前,Zerodium 为 ESXi 虚拟机逃逸漏洞提供最高20万美元的出价,而在今年不久前,出价为10万美元。
Zerodium 公司的创始人兼首席执行官 Chaouki Bekrar 表示,“我们提高了对 VMWare ESXi 利用代码的出价,以吸引并鼓励更多的研究人员审计该管理程序的安全性,因为我们坚信很多关键漏洞都对它产生影响,而且我们的政府客户需要这类利用代码。”
微软 Hyper-V 此前并未被包含在该公司的漏洞奖励计划中。
Bekrar 解释称,“Hyper-V 此前并非漏洞奖励计划的一部分,因为我们的客户对这款产品的兴趣不大。然而,我们最近观测到对 Hyper-V 利用代码的需求骤升,因此我们决定将其增加到奖励列表中。”
值得注意的是,微软为Hyper-V 漏洞提供的漏洞奖励金是最高25万美元。
Bekrar 表示,Zerodium 将在一两个月的时间内为 Hyper-V 和 ESXi0day 利用代码提供最高50万美元的奖励,之后将会根据研究人员收到的提交数量来决定降低或维持现有的赏金。
Zerodium 为高质量利用代码提供最高200万美元的奖励。该公司表示,它所购买的信息被提供给主要是政府组织机构的客户,“以满足具体和定制化的网络安全能力以及/或保护性解决方案来抵御 0day 漏洞攻击。”
今年早些时候,Zerodium 宣布称准备为 iOS 远程越狱提供最高200万美元的赏金,为流行聊天应用如 WhatsApp、iMessage 和SMS/MMS 应用中的漏洞提供100万美元的赏金。
推荐阅读
原文链接
https://www.securityweek.com/zerodium-offers-500000-vmware-esxi-microsoft-hyper-v-exploits
本文由代码卫士编译,不代表其观点,转载请注明“转自代码卫士 www.codesafe.cn”。