Zerodium 是一家安全漏洞利用供应商,今天早些时候宣布,它正在增加对微软的奖金支付 Outlook 零点击远程代码执行 (RCE) 从之前的 250,000 美元提高到 400,000 美元,提高了 60%。
零点击攻击尤其危险,因为它们根本不需要用户交互,即可将恶意负载传送到潜在受害者的设备上。然而 Zerodium 指出,支出的增加是“暂时的”,这意味着该决定可能会在以后进行修改。
这是完整的公告:
我们暂时增加对Microsoft的支出Outlook RCE 从 250,000 美元到 400,000 美元不等。我们正在寻找在 Outlook 中接收/下载电子邮件时导致远程代码执行的零点击漏洞,而无需任何用户交互,例如阅读恶意电子邮件或打开附件。依靠打开/阅读电子邮件的漏洞可能会获得较低的奖励。
在相关的 Outlook 新闻中,微软的 One Outlook Project Monarch 显然被推迟了,但据报道它仍在取得进展。
与微软同行 Outlook 支付公告,Zerodium 也宣布了 Mozilla 的 Thunderbird 平台,奖金为 200,000 美元。
我们正在寻找影响 Thunderbird 并在接收/下载电子邮件时导致远程代码执行的零点击漏洞,而无需任何用户交互,例如阅读恶意电子邮件或打开附件。依靠打开/阅读电子邮件的漏洞可能会获得较低的奖励。