苹果公司宣布对其漏洞赏金计划进行重大改革,将最高奖励翻倍至 200 万美元,奖励对象为那些能够与雇佣间谍软件攻击复杂程度相媲美的漏洞利用链。
苹果公司表示,如果能将绕过锁定模式和在测试版软件中发现的漏洞的奖励加起来,其总奖励金额可能超过 500 万美元。该公司声称,这是“所有赏金计划中最高的奖励”。
该计划现在更加注重完整的漏洞利用链,而不是单个漏洞,这反映了现实世界中攻击通常将多个漏洞串联在一起的现实。远程入侵向量的奖励也大幅增加,但在实际攻击中不常见的类别获得的奖励会有所降低。
作为改革的一部分,苹果公司推出了“目标标志”,其灵感源自“夺旗”游戏。当研究人员成功利用漏洞时,他们可以捕获一个特定的标志,该标志可以准确证明他们获得了何种级别的访问权限,例如代码执行或任意读/写权限。
这些标记可由苹果验证,因此使用这些标记提交报告的研究人员在验证捕获的标记后即可立即收到赏金通知。赏金将在即将到来的付款周期发放,这意味着研究人员无需等到苹果发布软件修复程序(这可能需要数月时间)。
更新后的计划将于 2025 年 11 月生效。
本站为个人博客,博客所发布的一切修改补丁、注册机和注册信息及软件的文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关,您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。访问和下载本站内容,说明您已同意上述条款。本站为非盈利性站点,VIP功能仅仅作为用户喜欢本站捐赠打赏功能,本站不贩卖软件,所有内容不作为商业行为。
