200万美元 这是2016年ZDI总共付出的漏洞赏金

作者:星期四, 一月 19, 20170
分享:

 

exploit-vendor-offers-1-5-million-for-ios-10-zero-days-508808-2

Zerodium2016年零日漏洞价位表

趋势科技的ZDI(零日计划)发布了一份674个漏洞的年度报告,根据这份名为“2016回顾”的报告,ZDI计划在一年内共向漏洞报告者支付了近200万美元的赏金。

ZDI用奖金来鼓励漏洞披露,然而该公司没有将手中的漏洞进行售卖或分发,而是使用用相关信息来保护TippingPoint的消费者免受潜在的攻击,这种防护甚至会早于补丁。

在这份报告中,有54个漏洞没有在披露的时候完成修补,其余的漏洞都在ZDI和受影响供应商的妥善合作中得以解决。研究人员在过去的一年里向ZDI提交了很多漏洞,但是其中43%左右的漏洞未被ZDI所认可。

2016年间ZDI收集到的最有趣的漏洞,包括影响IE浏览器(CVE-2016-3382)、Edge引擎(CVE-2016-0158)、Windows系统(CVE-2016-7272)、OS X 系统(CVE-2016-1806)、Flash播放器(CVE-2016-7857)和谷歌浏览器(CVE-2016-5161)。其中影响OS X系统的CVE-2016-1806在Pwn2Own大赛上被公开。

一些研究人员在去年表现突出,包括kdot(30份报告),bee13oy(18份报告),rgod(15份报告)和史蒂芬·斯利(20份警告)。这些专家的其他报告会在供应商修复漏洞后尽快发布。所发布的漏洞报告中有12%是零日计划的员工的成果。

在去年公布的674个漏洞报告中,有149个漏洞涉及Adobe产品,占总数的22%。值得注意的是,Adobe Flash Player在11月的周二推送的安全补丁修复的九个漏洞,都是由ZDI汇报给这家软件巨头的。

令人惊讶的是,报告中受影响第二大(112个相关漏洞)的厂商,是提供工业自动化解决方案的研华科技(Adventech)。微软、苹果、福昕阅读器、甲骨文、太阳风、趋势科技、惠普(HPE)和谷歌也“跻身”前十。

zdi_stats

ZDI的Dustin Childs表示,“有趣的是,去年有关苹果的漏洞大幅增加。在2014或2015年里,苹果产品的漏洞只占总数的4%,然而这个数字在2016年上升到了9%,即61个漏洞报告。我们很关心这一趋势在2017年会如何发展。”

目前,在接下来的四个月里ZDI有379个漏洞报告等待披露,这表明该机构在2017年发布的报告数量将至少与去年持平。

 

分享:

相关文章

写一条评论

 

 

0条评论