Zerodium : Jusqu’à 100 000 dollars pour un 0-Day Flash Player

0
106

La société Zerodium, déjà connue pour avoir acheté une faille 0-Day iOS à 1 million de dollars recommence son appel d’offre pour Flash Player. Cette fois, la récompense monterait jusqu’à 100 000 dollars pour une faille 0-Day exploitable.

Zerodium est une société qui exploite une énorme plateforme d’acquisition des vulnérabilités, et commercialise de nombreuses vulnérabilités critiques aux plus offrants. Et le business semble bien marcher ! Après l’achat d’une faille zero-day ciblant d’iOS 9 / 9.1 à 1 million de dollars, elle réitère cette fois avec la recherche d’une vulnérabilité zero-day dans Adobe Flash, monétisée à 100 000 dollars.

Attention, la société ne veut pas n’importe quelle faille de sécurité Flash, mais une bien précise, permettant de contourner le nouveau mécanisme de protection implémenté par Adobe dès la version 18.0.0.29 de son lecteur, nommé « Heap Isolation », implanté spécifiquement pour combattre les exploitations de type UAF (“Use-After-Free“) permettant une corruption de la mémoire et l’exécution de code arbitraire à distance.

 

Zerodium cherche donc à contourner cette protection et propose de récompenser toute personne qui lui apportera la solution. Seulement, ce n’est pas si simple, puisqu’il faudra, en plus de contourner l’isolation de la pile, réussir à sortir de la sandbox du navigateur. Du coup, la société propose deux récompenses distinctes : 65 000 dollars en cas de contournement réussi de l’isolation de pile et 100 000 dollars pour un contournement total (Heap Isolation + sandbox).

Rappelons au passage que le commerce de vulnérabilités 0-Day est très lucratif pour les sociétés du secteur, qui ne rend pas service aux éditeurs de logiciels et d’OS, ces derniers n’étant quasiment jamais mis au courant !

 

 

Source : NextInpact