NSS实验室正在为它的爆炸性市场增加甜头,向那些能够为十几个“高价值”漏洞编写有效漏洞的安全专家们提供奖励。
该公司已经拿出了4400美元的奖金,并计划向第一批提交漏洞有效利用的人提供100至500美元。其中10个漏洞涉及微软的Internet Explorer浏览器,2个漏洞发现于Adobe的Flash多媒体程序。
利用必须客户端远程攻击可以在代码的执行结果。概念验证代码和拒绝服务条件不合格。NSS实验室将用美国运通礼品卡支付开发者。来自美国长期禁运国家的居民不允许参加。
NSS实验室说,那些赢了的人可以出售他们的漏洞ExploitHub该公司为渗透测试者建立了一个市场,以获取漏洞来测试他们的基础设施。成立该公司的目的是协助开发渗透测试工具,并协助计算机安全研究人员。
那些编写成功漏洞的人可以把他们的代码卖给他们的公司,NSS实验室可以拿到30%的佣金。渗透测试人员也可以通过市场请求利用特定的漏洞。那些想要购买漏洞的人要经过NSS实验室的审查,以确保市场不会被滥用。
此外,对已经打了补丁的漏洞,它也只销售利用,而不对零日漏洞提供利用。NSS实验室提供的漏洞奖励是:
1.CVE-2011-1256: Microsoft Internet Explorer CElement内存损坏
2.CVE-2011-1266: Microsoft Internet Explorer VML vgx.dll使用后免费
3.CVE-2011-1261:微软ie浏览器选择。免费后空用
4.CVE-2011-1262: Microsoft Internet Explorer重定向内存损坏
5.CVE-2011-1963: Microsoft Internet Explorer XSLT内存损坏
6.CVE-2011-1964: Microsoft Internet Explorer风格的对象内存损坏
7.CVE-2011-0094:在自由内存损坏后使用微软Internet Explorer CSS
8.CVE-2011-0038: microsoftinternetexplorer8 ie . dll不安全库加载
9.CVE-2011-0035: Microsoft Internet Explorer删除的数据源对象内存损坏
10.CVE-2010-3346: Microsoft Internet Explorer HTML时间元素内存损坏
11.CVE-2011-2110: adobeflashplayer ActionScript函数变量参数信息
12.CVE-2011-0628: adobeflash Player远程整数溢出代码执行
发送新闻提示和评论到jeremy_kirk@idg.com