search:
summary | log | graphiclog1 | graphiclog2 | commit | commitdiff | tree | refs | edit | fork
blame | history | raw | HEAD
Calendar: add FT sprint
[tails/test.git] / wiki / src / news / On_0days_exploits_and_disclosure.mdwn
blobb63abc58fec63e74f2e08cd1608a9da9ff8c121c
1 [[!meta title="On 0days, exploits and disclosure"]]
2 [[!meta date="Tue, 22 Jul 2014 21:40:00 +0000"]]
3 [[!pagetemplate template="news.tmpl"]]
4
5 A [recent
6 tweet](https://twitter.com/ExodusIntel/status/491247299054428160) from
7 Exodus Intel (a company based in Austin, Texas) generated quite some
8 noise on the Internet:
9
10 > "We're happy to see that TAILS 1.1 is being released tomorrow.
11 > Our multiple RCE/de-anonymization zero-days are still effective. #tails #tor"
12
13 Tails ships a lot of software, from the Linux kernel to a fully
14 functional desktop, including a web browser and a lot of other
15 programs. Tails also adds a bit of custom software on top of this.
16
17 Security issues are discovered every month in a few of these programs.
18 Some people report such vulnerabilities, and then they get fixed: This
19 is the power of free and open source software. Others don't disclose
20 them, but run lucrative businesses by weaponizing and selling them
21 instead. This is not new and [comes as no
22 surprise](https://www.eff.org/deeplinks/2012/03/zero-day-exploit-sales-should-be-key-point-cybersecurity-debate).
23
24 We were not contacted by Exodus Intel prior to their tweet. In fact,
25 a more irritated version of this text was ready when we finally
26 received an email from them. They informed us that they would provide
27 us with a report within a week. We're told they won't disclose these
28 vulnerabilities publicly before we have corrected it, and Tails users
29 have had a chance to upgrade. We think that this is the right process
30 to responsibly disclose vulnerabilities, and we're really looking
31 forward to read this report.
32
33 Being fully aware of this kind of threat, we're continously working on
34 improving Tails' security in depth. Among other tasks, we're working
35 on a [tight
36 integration](https://labs.riseup.net/code/projects/tails/search?q=apparmor)
37 of AppArmor in Tails, [[!tails_ticket desc="kernel" 7639]] and
38 [[!tails_ticket desc="web browser hardening" 5802]] as well as
39 [[!tails_ticket desc="sandboxing" 6081]], just to name a few examples.
40
41 We are happy about every contribution which protects our users further
42 from de-anonymization and helps them to protect their private data,
43 investigations, and their lives. If you are a security researcher,
44 please audit Tails, Debian, Tor or any other piece of software we
45 ship. To report or discuss vulnerabilities you discover, please get in
46 touch with us by sending email to <tails@boum.org>.
47
48 Anybody wanting to contribute to Tails to help defend privacy,
49 [[please join us|contribute]]!