Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости» » Интернет технологии
sitename
Падающую на Землю обсерваторию NASA Swift будут спасать прицельным запуском крылатой ракеты - «Новости сети»
Падающую на Землю обсерваторию NASA Swift будут спасать прицельным запуском крылатой ракеты - «Новости сети»
 «Гаражная» компания запустила предзаказ на одноместный летающий мотоцикл с предоплатой в $999 - «Новости сети»
«Гаражная» компания запустила предзаказ на одноместный летающий мотоцикл с предоплатой в $999 - «Новости сети»
 В России начались продажи 12-дюймового планшета Poco Pad M1 с батарей на 12 000 мА·ч и ценой 29 990 рублей - «Новости сети»
В России начались продажи 12-дюймового планшета Poco Pad M1 с батарей на 12 000 мА·ч и ценой 29 990 рублей - «Новости сети»
 Paradox взяла на себя вину за провал Vampire: The Masquerade — Bloodlines 2 и списала больше половины бюджета игры - «Новости сети»
Paradox взяла на себя вину за провал Vampire: The Masquerade — Bloodlines 2 и списала больше половины бюджета игры - «Новости сети»
 Assassin's Creed Shadows пошла по пути Cyberpunk 2077 — Ubisoft отменила второе дополнение к игре - «Новости сети»
Assassin's Creed Shadows пошла по пути Cyberpunk 2077 — Ubisoft отменила второе дополнение к игре - «Новости сети»
 TeamGroup выпустила SSD с физической красной кнопкой самоуничтожения - «Новости сети»
TeamGroup выпустила SSD с физической красной кнопкой самоуничтожения - «Новости сети»
 Linux-ноутбук на Snapdragon X1 Elite отменён — заточенный под Windows процессор сильно тормозит с другой ОС - «Новости сети»
Linux-ноутбук на Snapdragon X1 Elite отменён — заточенный под Windows процессор сильно тормозит с другой ОС - «Новости сети»
 ИИ-пузырь «витает в воздухе», но Google всё равно замахнулась на расширение ИИ-мощностей в 1000 раз - «Новости сети»
ИИ-пузырь «витает в воздухе», но Google всё равно замахнулась на расширение ИИ-мощностей в 1000 раз - «Новости сети»
 «Роботы могут проломить череп»: Figure AI уволила инженера за такие слова и теперь ответит за это в суде - «Новости сети»
«Роботы могут проломить череп»: Figure AI уволила инженера за такие слова и теперь ответит за это в суде - «Новости сети»
 Apple устала от раздутого кода — в iOS 27 качество будет превыше новых функций - «Новости сети»
Apple устала от раздутого кода — в iOS 27 качество будет превыше новых функций - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Добавления стилей » Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»

✔Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»

14 октября 2025 20 Добавления стилей / Заработок / Новости / Изображения / Блог для вебмастеров / Преимущества стилей / Отступы и поля 0

Компания Apple анонсировала серьезное обновление и расширение своей программы bug bounty. Производитель удваивает максимальные выплаты багхантерам, добавляет в программу новые категории, а также платит до 2 млн долларов США за сложные цепочки эксплоитов.


В компании сообщают, что с момента запуска публичной программы bug bounty в 2020 году Apple выплатила более 35 млн долларов США более чем 800 ИБ-исследователям. Несколько специалистов заработали на обнаруженных ошибках по 500 000 долларов.


Недавно Apple представила Memory Integrity Enforcement (MIE) — постоянно активную защиту памяти для iPhone, созданную для противодействия изощренным шпионским атакам. В компании полагают, что такие угрозы опасны для пользователей и намерены укрепить защиту своих продуктов от подобных атак.


Для этого Apple значительно повышает вознаграждения за уязвимости, которые могли бы использоваться в цепочках эксплоитов для атак шпионского ПО.


Так, максимальная награда за zero-click цепочку эксплоитов, позволяющую удаленно скомпрометировать устройство, выросла с 1 до 2 млн долларов США. При этом в Apple подчеркивают, что это базовая выплата — теоретически исследователи могут получить до 5 млн долларов США, хотя это будет непросто и понадобится заработать бонусы за обход Lockdown Mode и обнаружение багов в бета-версиях ПО.


Также компания существенно увеличивает выплаты за:



  • побег из песочницы приложения (со 150 000 до 500 000 долларов);

  • атаки с физическим доступом к заблокированному устройству (с 250 000 до 500 000 долларов);

  • беспроводные атаки, требующие физического присутствия (с 250 000 до 1 млн долларов);

  • удаленный взлом, который требует one-click взаимодействия с пользователем (с 250 000 до 1 млн долларов).


Кроме того, Apple объявила, что one-click атаки через браузер, требующие обхода защиты WebKit, будут вознаграждаться суммой до 300 000 долларов при достижении выполнения кода с побегом из песочницы. Награда может вырасти до 1 млн долларов, если цепочка эксплоитов также позволит выполнить неподписанный код с произвольными правами.


Вознаграждения были повышены и для категорий, в которых пока не было продемонстрировано ни одного эксплоита, например, обход Gatekeeper на macOS (100 000 долларов) и несанкционированный доступ к iCloud (1 млн долларов).


Помимо перечисленного Apple представила систему Target Flags (по аналогии с соревнованиями CTF), которая призвана упростить багхантерам демонстрацию уязвимостей, а также понимание того, какую награду можно ожидать за отчет.


«Когда исследователи демонстрируют проблемы безопасности через Target Flags, флаг объективно показывает достигнутый уровень возможностей — скажем, контроль регистров, произвольное чтение/запись или выполнение кода — и напрямую определяет размер выплаты. Это делает процесс начисления наград максимально прозрачным, — объясняют в Apple. — Поскольку Target Flags проверяются программно на нашей стороне, исследователи получат уведомление о награде сразу после валидации флага».


Target Flags поддерживаются в iOS, iPadOS, macOS, visionOS, watchOS и tvOS.


Также в Apple отмечают, что за исключительные исследования с хорошими отчетами специалисты по-прежнему будут получать бонусы, а за баги с низким уровнем воздействия теперь можно получить около 1000 долларов (что призвано мотивировать исследователей продолжать сообщать о своих находках).

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Компания Apple анонсировала серьезное обновление и расширение своей программы bug bounty. Производитель удваивает максимальные выплаты багхантерам, добавляет в программу новые категории, а также платит до 2 млн долларов США за сложные цепочки эксплоитов. В компании сообщают, что с момента запуска публичной программы bug bounty в 2020 году Apple выплатила более 35 млн долларов США более чем 800 ИБ-исследователям. Несколько специалистов заработали на обнаруженных ошибках по 500 000 долларов. Недавно Apple представила Memory Integrity Enforcement (MIE) — постоянно активную защиту памяти для iPhone, созданную для противодействия изощренным шпионским атакам. В компании полагают, что такие угрозы опасны для пользователей и намерены укрепить защиту своих продуктов от подобных атак. Для этого Apple значительно повышает вознаграждения за уязвимости, которые могли бы использоваться в цепочках эксплоитов для атак шпионского ПО. Так, максимальная награда за zero-click цепочку эксплоитов, позволяющую удаленно скомпрометировать устройство, выросла с 1 до 2 млн долларов США. При этом в Apple подчеркивают, что это базовая выплата — теоретически исследователи могут получить до 5 млн долларов США, хотя это будет непросто и понадобится заработать бонусы за обход Lockdown Mode и обнаружение багов в бета-версиях ПО. Также компания существенно увеличивает выплаты за: побег из песочницы приложения (со 150 000 до 500 000 долларов); атаки с физическим доступом к заблокированному устройству (с 250 000 до 500 000 долларов); беспроводные атаки, требующие физического присутствия (с 250 000 до 1 млн долларов); удаленный взлом, который требует one-click взаимодействия с пользователем (с 250 000 до 1 млн долларов). Кроме того, Apple объявила, что one-click атаки через браузер, требующие обхода защиты WebKit, будут вознаграждаться суммой до 300 000 долларов при достижении выполнения кода с побегом из песочницы. Награда может вырасти до 1 млн долларов, если цепочка эксплоитов также позволит выполнить неподписанный код с произвольными правами. Вознаграждения были повышены и для категорий, в которых пока не было продемонстрировано ни одного эксплоита, например, обход Gatekeeper на macOS (100 000 долларов) и несанкционированный доступ к iCloud (1 млн долларов). Помимо перечисленного Apple представила систему Target Flags (по аналогии с соревнованиями CTF), которая призвана упростить багхантерам демонстрацию уязвимостей, а также понимание того, какую награду можно ожидать за отчет. «Когда исследователи демонстрируют проблемы безопасности через Target Flags, флаг объективно показывает достигнутый уровень возможностей — скажем, контроль регистров, произвольное чтение/запись или выполнение кода — и напрямую определяет размер выплаты. Это делает процесс начисления наград максимально прозрачным, — объясняют в Apple. — Поскольку Target Flags проверяются программно на нашей стороне, исследователи получат уведомление о награде сразу после валидации флага». Target Flags поддерживаются в iOS, iPadOS, macOS, visionOS, watchOS и tvOS. Также в Apple отмечают, что за исключительные исследования с хорошими отчетами специалисты по-прежнему будут получать бонусы, а за баги с низким уровнем воздействия теперь можно получить около 1000 долларов (что призвано мотивировать исследователей продолжать сообщать о своих находках).
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: