广东
Apple 宣布大幅加码提升Security Bounty 计划的吸引力,显著提高奖励并扩大研究类别。 Apple将最高奖金翻倍至 200 万美元,奖励用于模仿复杂雇佣间谍软件攻击的利用链。 透过额外奖金制度,最高支付金额甚至可能超过500万美元。
提升奖励上限与细分类目
Apple 表示,200 万美元的奖励是业内前所未有的金额,也是已知所有奖励计划中最高的。 Apple 大幅增加了许多其他类别的奖励,包括完整的 Gatekeeper 绕过(10 万美元)和广泛未经授权的 iCloud 访问(100 万美元),指出这两个类别迄今为止尚未出现成功的漏洞利用展示。 此外,该计划扩大涵盖范围至新的攻击范围,针对单点WebKit沙箱逃逸提供高达30万美元的奖励,而通过任何射频的无线邻近漏洞最高可达100万美元。
引入 Target Flags 加速奖励流程
为帮助研究人员客观地展示漏洞利用能力,苹果引入了 Target Flags。 这种新机制适用于远程代码执行和 Transparency, Consent, and Control (TCC) 绕过等顶级奖励类别。 提交附带Target Flags报告的研究人员将符合加速奖励资格,即在研究报告收到并验证后立即处理付款,即使修复程序尚未发布。
计划提供iPhone 17设备予弱势用户
Apple也宣布了一项特别举措,计划向可能遭受雇佣间谍软件攻击的民间组织提供 1,000 部配备内存完整性强制执行的 iPhone 17 设备,以将业界领先的防护措施交付给需要的人。 这些更新将于 2025 年 11 月生效,届时苹果将在官方安全研究博客上公布所有新增类别、奖励和奖金的完整细节。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
