Бесплатно Экспресс-аудит сайта:

01.02.2022

Zerodium заплатит $400 тыс. за RCE-уязвимость в Microsoft Outlook

Компания Zerodium, занимающаяся перепродажей эксплоитов, объявила о готовности заплатить до $400 тыс. за уязвимость нулевого дня в Microsoft Outlook, позволяющую удаленно выполнить код (RCE). Предложение является временным, однако дата его окончания пока не раскрывается.

Стандартная цена, предлагаемая Zerodium за уязвимости удаленного выполнения кода в Microsoft Outlook, составляет $250 тыс. Такую сумму компания готова заплатить за «полностью функциональный надежный эксплоит».

$400 тыс. Zerodium готова отдать за уязвимость, позволяющую удаленно выполнить код без каких-либо действий со стороны пользователя (так называемый «zero-click»), когда почтовый клиент Microsoft получает или загружает сообщение.

За эксплоиты, требующие, чтобы пользователь открыл или прочитал полученное по почте сообщение, компания готова заплатить меньшую сумму (размер суммы не уточняется).

Zerodium также напомнила, что в настоящее время предлагает $200 тыс. за уязвимости удаленного выполнения кода в Mozilla Thunderbird. Размер суммы не менялся еще с 2019 года.

Хотя дата окончания предложения за уязвимость zero-click в Microsoft Outlook не уточняется, на самом деле предложение может быть действительно очень долго. Например, 31 марта 2021 года Zerodium объявила о временном повышении суммы вознаграждения за уязвимости удаленного выполнения кода в WordPress, и эта сумма актуальна и на сегодняшний день.

Стандартная сумма вознаграждения за уязвимости в большинстве популярных систем правления контентом (CMS) составляет $100 тыс.

В настоящее время компания готова платить больше только за уязвимости в WordPress, Mozilla Thunderbird и Microsoft Outlook.

Недавно истек срок действия временного предложения $400 тыс. за уязвимость удаленного выполнения кода и обхода песочницы в Google Chrome, а также $150 тыс. за уязвимость удаленного выполнения кода в VMware vCenter.