Известный брокер на рынке уязвимостей — компания Zerodium, объявила очередной конкурс. Компания предлагает приз в размере $100 000 каждому, кто сумеет осуществить обход Heap Isolation во Flash Player.
В конце 2015 года Zerodium уже предлагала внушительное денежное вознаграждение за поиск багов. Тогда компания пообещала выплатить миллион долларов любому, кто найдет 0day в iOS 9. Разумеется, первый попавшийся 0day для конкурса не подходил, детальные условия задания были весьма сложны. Тем не менее, в ноябре 2015 года конкурс успешно завершился: пожелавшая остаться неизвестной команда хакеров сумела выполнить все условия Zerodium и забрала огромный приз.
Очевидно, результат данной акции по поиску багов на заказ удовлетворил специалистов Zerodium, так как компания анонсировала старт нового челленджа. На этот раз нужно найти 0day во Flash Player компании Adobe. Приз значительно скромнее — только $100 000, но в прошлом году Zerodium уже рассказывала о том, сколько стоят разные баги и даже объясняла, почему уязвимости в продуктах Apple ценятся намного выше всех остальных. Так, согласно официальному прайс-листу компании, баги во Flash Player обычно оцениваются в $80 000 максимум.
Как и в прошлый раз, для конкурса подойдет далеко не любой баг. Несколько месяцев назад компания Adobe, при поддержке специалистов Microsoft и ИБ-сообщества, добавила во Flash Player (начиная с версии 18.0.0209) защитный механизм Heap Isolation, призванный усложнить злоумышленникам эксплуатацию Use-After-Free уязвимостей. Чем чревата подобная атака, и как все это работает, подробно рассказывали эксперты Google Project Zero.
Специалисты Zerodium выплатят приз тому, кто сумеет обойти Heap Isolation и предоставит работающий эксплоит:
- $100 000 получит тот, кто сумеет обойти Heap Isolation с выходом из песочницы;
- $65 000 получит тот, кто сумеет осуществить обход Heap Isolation, не выходя из песочницы.
Adobe added isolated heap to Flash. This month we pay $100K (with sandbox) and $65K (without sandbox) per #exploit bypassing this mitigation
— Zerodium (@Zerodium) January 5, 2016
Судя по официальному сообщению, денежные вознаграждения актуальны только в этом месяце (январе). Вполне логично, учитывая, что Zerodium скупает баги не для себя, и в этом бизнесе время играет важную роль. Бизнес модель Zerodium (из-за которой компания неоднократно подвергалась жесткой критике) такова, что компания сохраняет информацию о найденных самостоятельно и купленных у третьих лиц 0day в тайне, при этом перепродавая их крупным правительственным организациям и силовым структурам. К примеру, АНБ или военным.
Фото: Pictures of Money