Zerodium祭出总金额100万美元收购Tor浏览器零时差攻击程式

专门出售攻击程式予政府机构的 Zerodium在本周三宣布 将以总金额100万美元收购基于Tails Linux及Windows平台上的Tor浏览器零时差攻击程式。

Zerodium说，有鉴于现代系统上的利用缓解数量愈来愈多也愈来愈具效益，开采浏览器漏洞变得益发困难，但总是有研究人员能够开发新的浏览器攻击程式，因此该公司决定高价收购封锁JavaScript的Tor浏览器的全功能零时差攻击程式。

Tor浏览器的预设配置是允许执行JavaScript的，属于低阶安全等级，若要提高安全等级则可选择封锁JavaScript。Zerodium同时提供这两种配置的攻击程式价码，但金额有所不同，例如低安全等级的RCE攻击程式收购价为8.5万美元，RCE+LPE攻击程式的收购价为12.5万美元，若是高安全等级的RCE攻击程式收购价则是18.5万美元，RCE+LPE攻击程式的收购价则是25万美元。

合乎收购资格的攻击程式必须利用独家且尚未曝光的零时差漏洞，也必须能绕过所有的利用缓解机制，此外，这些攻击程式也必须是可靠且功能齐全的，能够在目标系统上执行远端程式攻击，或是取得系统权限。

针对Tor浏览器的攻击程式收购期限为今年的11月30日，若在之前就花光了100万美元则会提前截止。

Zerodium持续悬赏各种产品的零时差攻击程式，从桌面作业系统、浏览器、行动平台、网路服务器、电子邮件服务器、网路应用程式，甚至是行动传讯程式等。