wiki/src/news/On_0days_exploits_and_disclosure.mdwn

   1 [[!meta title="On 0days, exploits and disclosure"]]
   2 [[!meta date="Tue Jul 22 21:40:00 2014"]]
   3
   4 A [recent
   5 tweet](https://twitter.com/ExodusIntel/status/491247299054428160) from
   6 Exodus Intel (a company based in Austin, Texas) generated quite some
   7 noise on the Internet:
   8
   9 > "We're happy to see that TAILS 1.1 is being released tomorrow.
  10 > Our multiple RCE/de-anonymization zero-days are still effective. #tails #tor"
  11
  12 Tails ships a lot of software, from the Linux kernel to a fully
  13 functional desktop, including a web browser and a lot of other
  14 programs. Tails also adds a bit of custom software on top of this.
  15
  16 Security issues are discovered every month in a few of these programs.
  17 Some people report such vulnerabilities, and then they get fixed: This
  18 is the power of free and open source software. Others don't disclose
  19 them, but run lucrative businesses by weaponizing and selling them
  20 instead. This is not new and [comes as no
  21 surprise](https://www.eff.org/deeplinks/2012/03/zero-day-exploit-sales-should-be-key-point-cybersecurity-debate).
  22
  23 We were not contacted by Exodus Intel prior to their tweet. In fact,
  24 a more irritated version of this text was ready when we finally
  25 received an email from them. They informed us that they would provide
  26 us with a report within a week. We're told they won't disclose these
  27 vulnerabilities publicly before we have corrected it, and Tails users
  28 have had a chance to upgrade. We think that this is the right process
  29 to responsibly disclose vulnerabilities, and we're really looking
  30 forward to read this report.
  31
  32 Being fully aware of this kind of threat, we're continously working on
  33 improving Tails' security in depth. Among other tasks, we're working
  34 on a [tight
  35 integration](https://labs.riseup.net/code/projects/tails/search?q=apparmor)
  36 of AppArmor in Tails, [[!tails_ticket desc="kernel" 7639]] and
  37 [[!tails_ticket desc="web browser hardening" 5802]] as well as
  38 [[!tails_ticket desc="sandboxing" 6081]], just to name a few examples.
  39
  40 We are happy about every contribution which protects our users further
  41 from de-anonymization and helps them to protect their private data,
  42 investigations, and their lives. If you are a security researcher,
  43 please audit Tails, Debian, Tor or any other piece of software we
  44 ship. To report or discuss vulnerabilities you discover, please get in
  45 touch with us by sending email to <tails@boum.org>.
  46
  47 Anybody wanting to contribute to Tails to help defend privacy,
  48 [[please join us|contribute]]!