Sack修补程序利用漏洞,只需支付1750美元就会引起争议

2020-09-01 10:18   来源: 互联网    阅读次数:116

Slack今年修复了一个远程程序攻击漏洞,这不仅是因为它极其危险,而且还因为斯拉克只向发现它的研究人员支付了1750美元,引起了其他研究人员的抱怨。

研究人员的代码--名为Oskars的代码--通过HackerOne平台将漏洞提交给Sack。根据这些指令,黑客可以使用程序内重定向到逻辑/开放重定向或HTML或javascript注入,从而在桌面Sack程序中执行任意程序,同时危及Windows、MacOS和Linux平台。






成功的攻击不仅使黑客能够访问Sack用户的私有文件、私钥、密码或内部网络,而且还能注入类似蠕虫的有效载荷,感染任何点击他们的团队成员。

黑客一号在解决了漏洞后披露了该漏洞的细节,表明该漏洞被列为重大(关键)风险级别,奥斯卡获得了1750美元的奖金。

同样是一名白帽黑客的丹尼尔-卡斯伯特(DanielCuthbert)很快跳出来为奥斯卡感到悲痛,他指出,数千万人使用的一个协作平台只花了1750美元给那些发现了一个重大漏洞的研究人员,而奥斯卡可能会把这个漏洞卖给第三方公司,比如对重大漏洞提供奖励的剥削公司,并呼吁sack给出更合理的回报。

另一位安全研究员AlonGal也表示,如果奥斯卡把漏洞卖给其他公司,它至少应该赚数万美元,政府可能应该要求公司为漏洞支付更高的奖励。

以Zerodium为例,它为00:00漏洞提供了特殊奖励,例如,一个远程程序,它会使路由器、vBul公告、Joomla或Drupal的漏洞爆炸,最高价格为10,000美元,而对于较热的程序,如AdobePDF、WinRAR或7-Zip远程程序漏洞,则为80,000美元。

马斯克还要求斯拉克在没有发表争议声明的情况下,得到一位发言人的回应。斯特劳表示,该公司非常重视安全部门的贡献,并将继续审查其漏洞开采赔偿金的支付规模,以表达对研究人员的认可。



责任编辑:iiihyt
分享到:
0
【慎重声明】凡本站未注明来源为"中关村热线"的所有作品,均转载、编译或摘编自其它媒体,转载、编译或摘编的目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责。如因作品内容、版权和其他问题需要同本网联系的,请在30日内进行!
关于我们| 免责声明| 投诉建议| 网站地图| sitemap|