Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости» » Интернет технологии
sitename
Малварь Webrat маскируется под эксплоиты и распространяется через GitHub - «Новости»
Малварь Webrat маскируется под эксплоиты и распространяется через GitHub - «Новости»
 Исследователь проник в систему распознавания автомобильных номеров в Узбекистане - «Новости»
Исследователь проник в систему распознавания автомобильных номеров в Узбекистане - «Новости»
 Для покупки SIM-карты в Южной Корее придется пройти биометрическую проверку - «Новости»
Для покупки SIM-карты в Южной Корее придется пройти биометрическую проверку - «Новости»
 В результате операции Sentinel в странах Африки арестованы 574 киберпреступника - «Новости»
В результате операции Sentinel в странах Африки арестованы 574 киберпреступника - «Новости»
 «Хакеры.RU»: первая часть книги в продаже, вторая — уже на подходе - «Новости»
«Хакеры.RU»: первая часть книги в продаже, вторая — уже на подходе - «Новости»
 Легендарный создатель 3,5-дюймовых HDD вернулся и представил на CES 2026 флешки и не только - «Новости сети»
Легендарный создатель 3,5-дюймовых HDD вернулся и представил на CES 2026 флешки и не только - «Новости сети»
 Adata и MSI показали «первые в мире» 4-ранговые модули памяти DDR5 CUDIMM на 128 Гбайт - «Новости сети»
Adata и MSI показали «первые в мире» 4-ранговые модули памяти DDR5 CUDIMM на 128 Гбайт - «Новости сети»
 Blade Runner встречает Fallout: New Vegas в геймплейном трейлере ретрофутуристического экшена ExeKiller - «Новости сети»
Blade Runner встречает Fallout: New Vegas в геймплейном трейлере ретрофутуристического экшена ExeKiller - «Новости сети»
 Larian ответила на вопросы игроков о Divinity и генеративном ИИ в разработке — новые подробности амбициозной RPG от создателей Baldur’s Gate 3 - «Новости сети»
Larian ответила на вопросы игроков о Divinity и генеративном ИИ в разработке — новые подробности амбициозной RPG от создателей Baldur’s Gate 3 - «Новости сети»
 Масштабный взлом Rainbow Six Siege привел к отключению серверов, банам и раздаче внутриигровой валюты - «Новости»
Масштабный взлом Rainbow Six Siege привел к отключению серверов, банам и раздаче внутриигровой валюты - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Добавления стилей » Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»

✔Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»

14 октября 2025 24 Добавления стилей / Заработок / Новости / Изображения / Блог для вебмастеров / Преимущества стилей / Отступы и поля 0

Компания Apple анонсировала серьезное обновление и расширение своей программы bug bounty. Производитель удваивает максимальные выплаты багхантерам, добавляет в программу новые категории, а также платит до 2 млн долларов США за сложные цепочки эксплоитов.


В компании сообщают, что с момента запуска публичной программы bug bounty в 2020 году Apple выплатила более 35 млн долларов США более чем 800 ИБ-исследователям. Несколько специалистов заработали на обнаруженных ошибках по 500 000 долларов.


Недавно Apple представила Memory Integrity Enforcement (MIE) — постоянно активную защиту памяти для iPhone, созданную для противодействия изощренным шпионским атакам. В компании полагают, что такие угрозы опасны для пользователей и намерены укрепить защиту своих продуктов от подобных атак.


Для этого Apple значительно повышает вознаграждения за уязвимости, которые могли бы использоваться в цепочках эксплоитов для атак шпионского ПО.


Так, максимальная награда за zero-click цепочку эксплоитов, позволяющую удаленно скомпрометировать устройство, выросла с 1 до 2 млн долларов США. При этом в Apple подчеркивают, что это базовая выплата — теоретически исследователи могут получить до 5 млн долларов США, хотя это будет непросто и понадобится заработать бонусы за обход Lockdown Mode и обнаружение багов в бета-версиях ПО.


Также компания существенно увеличивает выплаты за:



  • побег из песочницы приложения (со 150 000 до 500 000 долларов);

  • атаки с физическим доступом к заблокированному устройству (с 250 000 до 500 000 долларов);

  • беспроводные атаки, требующие физического присутствия (с 250 000 до 1 млн долларов);

  • удаленный взлом, который требует one-click взаимодействия с пользователем (с 250 000 до 1 млн долларов).


Кроме того, Apple объявила, что one-click атаки через браузер, требующие обхода защиты WebKit, будут вознаграждаться суммой до 300 000 долларов при достижении выполнения кода с побегом из песочницы. Награда может вырасти до 1 млн долларов, если цепочка эксплоитов также позволит выполнить неподписанный код с произвольными правами.


Вознаграждения были повышены и для категорий, в которых пока не было продемонстрировано ни одного эксплоита, например, обход Gatekeeper на macOS (100 000 долларов) и несанкционированный доступ к iCloud (1 млн долларов).


Помимо перечисленного Apple представила систему Target Flags (по аналогии с соревнованиями CTF), которая призвана упростить багхантерам демонстрацию уязвимостей, а также понимание того, какую награду можно ожидать за отчет.


«Когда исследователи демонстрируют проблемы безопасности через Target Flags, флаг объективно показывает достигнутый уровень возможностей — скажем, контроль регистров, произвольное чтение/запись или выполнение кода — и напрямую определяет размер выплаты. Это делает процесс начисления наград максимально прозрачным, — объясняют в Apple. — Поскольку Target Flags проверяются программно на нашей стороне, исследователи получат уведомление о награде сразу после валидации флага».


Target Flags поддерживаются в iOS, iPadOS, macOS, visionOS, watchOS и tvOS.


Также в Apple отмечают, что за исключительные исследования с хорошими отчетами специалисты по-прежнему будут получать бонусы, а за баги с низким уровнем воздействия теперь можно получить около 1000 долларов (что призвано мотивировать исследователей продолжать сообщать о своих находках).

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Компания Apple анонсировала серьезное обновление и расширение своей программы bug bounty. Производитель удваивает максимальные выплаты багхантерам, добавляет в программу новые категории, а также платит до 2 млн долларов США за сложные цепочки эксплоитов. В компании сообщают, что с момента запуска публичной программы bug bounty в 2020 году Apple выплатила более 35 млн долларов США более чем 800 ИБ-исследователям. Несколько специалистов заработали на обнаруженных ошибках по 500 000 долларов. Недавно Apple представила Memory Integrity Enforcement (MIE) — постоянно активную защиту памяти для iPhone, созданную для противодействия изощренным шпионским атакам. В компании полагают, что такие угрозы опасны для пользователей и намерены укрепить защиту своих продуктов от подобных атак. Для этого Apple значительно повышает вознаграждения за уязвимости, которые могли бы использоваться в цепочках эксплоитов для атак шпионского ПО. Так, максимальная награда за zero-click цепочку эксплоитов, позволяющую удаленно скомпрометировать устройство, выросла с 1 до 2 млн долларов США. При этом в Apple подчеркивают, что это базовая выплата — теоретически исследователи могут получить до 5 млн долларов США, хотя это будет непросто и понадобится заработать бонусы за обход Lockdown Mode и обнаружение багов в бета-версиях ПО. Также компания существенно увеличивает выплаты за: побег из песочницы приложения (со 150 000 до 500 000 долларов); атаки с физическим доступом к заблокированному устройству (с 250 000 до 500 000 долларов); беспроводные атаки, требующие физического присутствия (с 250 000 до 1 млн долларов); удаленный взлом, который требует one-click взаимодействия с пользователем (с 250 000 до 1 млн долларов). Кроме того, Apple объявила, что one-click атаки через браузер, требующие обхода защиты WebKit, будут вознаграждаться суммой до 300 000 долларов при достижении выполнения кода с побегом из песочницы. Награда может вырасти до 1 млн долларов, если цепочка эксплоитов также позволит выполнить неподписанный код с произвольными правами. Вознаграждения были повышены и для категорий, в которых пока не было продемонстрировано ни одного эксплоита, например, обход Gatekeeper на macOS (100 000 долларов) и несанкционированный доступ к iCloud (1 млн долларов). Помимо перечисленного Apple представила систему Target Flags (по аналогии с соревнованиями CTF), которая призвана упростить багхантерам демонстрацию уязвимостей, а также понимание того, какую награду можно ожидать за отчет. «Когда исследователи демонстрируют проблемы безопасности через Target Flags, флаг объективно показывает достигнутый уровень возможностей — скажем, контроль регистров, произвольное чтение/запись или выполнение кода — и напрямую определяет размер выплаты. Это делает процесс начисления наград максимально прозрачным, — объясняют в Apple. — Поскольку Target Flags проверяются программно на нашей стороне, исследователи получат уведомление о награде сразу после валидации флага». Target Flags поддерживаются в iOS, iPadOS, macOS, visionOS, watchOS и tvOS. Также в Apple отмечают, что за исключительные исследования с хорошими отчетами специалисты по-прежнему будут получать бонусы, а за баги с низким уровнем воздействия теперь можно получить около 1000 долларов (что призвано мотивировать исследователей продолжать сообщать о своих находках).
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: