Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости» » Интернет технологии
sitename
Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»
Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»
 ФБР закрыло очередную версию BreachForums - «Новости»
ФБР закрыло очередную версию BreachForums - «Новости»
 Xakep.ru снова доступен в Казахстане! - «Новости»
Xakep.ru снова доступен в Казахстане! - «Новости»
 Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»
Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»
 Microsoft предупреждает о хак-группе, которая ворует зарплаты сотрудников вузов - «Новости»
Microsoft предупреждает о хак-группе, которая ворует зарплаты сотрудников вузов - «Новости»
 Арест за арестом: причиной возгорания в правительственном ЦОД Южной Кореи могло стать не отключенное вовремя резервное питание - «Новости сети»
Арест за арестом: причиной возгорания в правительственном ЦОД Южной Кореи могло стать не отключенное вовремя резервное питание - «Новости сети»
 Вложи $5 млн — получи $75 млн: NVIDIA похвасталась новыми рекордами в комплексном бенчмарке InferenceMAX v1 - «Новости сети»
Вложи $5 млн — получи $75 млн: NVIDIA похвасталась новыми рекордами в комплексном бенчмарке InferenceMAX v1 - «Новости сети»
 Тайвань заявил, что не зависит от китайских редкоземельных металлов - «Новости сети»
Тайвань заявил, что не зависит от китайских редкоземельных металлов - «Новости сети»
 Apple планирует представить на этой неделе три новых продукта - «Новости сети»
Apple планирует представить на этой неделе три новых продукта - «Новости сети»
 Пользователи ChatGPT снова могут удалять свои чаты безвозвратно - «Новости сети»
Пользователи ChatGPT снова могут удалять свои чаты безвозвратно - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Добавления стилей » Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»

✔Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»

14 октября 2025 0 Добавления стилей / Заработок / Новости / Изображения / Блог для вебмастеров / Преимущества стилей / Отступы и поля 0

Компания Apple анонсировала серьезное обновление и расширение своей программы bug bounty. Производитель удваивает максимальные выплаты багхантерам, добавляет в программу новые категории, а также платит до 2 млн долларов США за сложные цепочки эксплоитов.


В компании сообщают, что с момента запуска публичной программы bug bounty в 2020 году Apple выплатила более 35 млн долларов США более чем 800 ИБ-исследователям. Несколько специалистов заработали на обнаруженных ошибках по 500 000 долларов.


Недавно Apple представила Memory Integrity Enforcement (MIE) — постоянно активную защиту памяти для iPhone, созданную для противодействия изощренным шпионским атакам. В компании полагают, что такие угрозы опасны для пользователей и намерены укрепить защиту своих продуктов от подобных атак.


Для этого Apple значительно повышает вознаграждения за уязвимости, которые могли бы использоваться в цепочках эксплоитов для атак шпионского ПО.


Так, максимальная награда за zero-click цепочку эксплоитов, позволяющую удаленно скомпрометировать устройство, выросла с 1 до 2 млн долларов США. При этом в Apple подчеркивают, что это базовая выплата — теоретически исследователи могут получить до 5 млн долларов США, хотя это будет непросто и понадобится заработать бонусы за обход Lockdown Mode и обнаружение багов в бета-версиях ПО.


Также компания существенно увеличивает выплаты за:



  • побег из песочницы приложения (со 150 000 до 500 000 долларов);

  • атаки с физическим доступом к заблокированному устройству (с 250 000 до 500 000 долларов);

  • беспроводные атаки, требующие физического присутствия (с 250 000 до 1 млн долларов);

  • удаленный взлом, который требует one-click взаимодействия с пользователем (с 250 000 до 1 млн долларов).


Кроме того, Apple объявила, что one-click атаки через браузер, требующие обхода защиты WebKit, будут вознаграждаться суммой до 300 000 долларов при достижении выполнения кода с побегом из песочницы. Награда может вырасти до 1 млн долларов, если цепочка эксплоитов также позволит выполнить неподписанный код с произвольными правами.


Вознаграждения были повышены и для категорий, в которых пока не было продемонстрировано ни одного эксплоита, например, обход Gatekeeper на macOS (100 000 долларов) и несанкционированный доступ к iCloud (1 млн долларов).


Помимо перечисленного Apple представила систему Target Flags (по аналогии с соревнованиями CTF), которая призвана упростить багхантерам демонстрацию уязвимостей, а также понимание того, какую награду можно ожидать за отчет.


«Когда исследователи демонстрируют проблемы безопасности через Target Flags, флаг объективно показывает достигнутый уровень возможностей — скажем, контроль регистров, произвольное чтение/запись или выполнение кода — и напрямую определяет размер выплаты. Это делает процесс начисления наград максимально прозрачным, — объясняют в Apple. — Поскольку Target Flags проверяются программно на нашей стороне, исследователи получат уведомление о награде сразу после валидации флага».


Target Flags поддерживаются в iOS, iPadOS, macOS, visionOS, watchOS и tvOS.


Также в Apple отмечают, что за исключительные исследования с хорошими отчетами специалисты по-прежнему будут получать бонусы, а за баги с низким уровнем воздействия теперь можно получить около 1000 долларов (что призвано мотивировать исследователей продолжать сообщать о своих находках).

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Компания Apple анонсировала серьезное обновление и расширение своей программы bug bounty. Производитель удваивает максимальные выплаты багхантерам, добавляет в программу новые категории, а также платит до 2 млн долларов США за сложные цепочки эксплоитов. В компании сообщают, что с момента запуска публичной программы bug bounty в 2020 году Apple выплатила более 35 млн долларов США более чем 800 ИБ-исследователям. Несколько специалистов заработали на обнаруженных ошибках по 500 000 долларов. Недавно Apple представила Memory Integrity Enforcement (MIE) — постоянно активную защиту памяти для iPhone, созданную для противодействия изощренным шпионским атакам. В компании полагают, что такие угрозы опасны для пользователей и намерены укрепить защиту своих продуктов от подобных атак. Для этого Apple значительно повышает вознаграждения за уязвимости, которые могли бы использоваться в цепочках эксплоитов для атак шпионского ПО. Так, максимальная награда за zero-click цепочку эксплоитов, позволяющую удаленно скомпрометировать устройство, выросла с 1 до 2 млн долларов США. При этом в Apple подчеркивают, что это базовая выплата — теоретически исследователи могут получить до 5 млн долларов США, хотя это будет непросто и понадобится заработать бонусы за обход Lockdown Mode и обнаружение багов в бета-версиях ПО. Также компания существенно увеличивает выплаты за: побег из песочницы приложения (со 150 000 до 500 000 долларов); атаки с физическим доступом к заблокированному устройству (с 250 000 до 500 000 долларов); беспроводные атаки, требующие физического присутствия (с 250 000 до 1 млн долларов); удаленный взлом, который требует one-click взаимодействия с пользователем (с 250 000 до 1 млн долларов). Кроме того, Apple объявила, что one-click атаки через браузер, требующие обхода защиты WebKit, будут вознаграждаться суммой до 300 000 долларов при достижении выполнения кода с побегом из песочницы. Награда может вырасти до 1 млн долларов, если цепочка эксплоитов также позволит выполнить неподписанный код с произвольными правами. Вознаграждения были повышены и для категорий, в которых пока не было продемонстрировано ни одного эксплоита, например, обход Gatekeeper на macOS (100 000 долларов) и несанкционированный доступ к iCloud (1 млн долларов). Помимо перечисленного Apple представила систему Target Flags (по аналогии с соревнованиями CTF), которая призвана упростить багхантерам демонстрацию уязвимостей, а также понимание того, какую награду можно ожидать за отчет. «Когда исследователи демонстрируют проблемы безопасности через Target Flags, флаг объективно показывает достигнутый уровень возможностей — скажем, контроль регистров, произвольное чтение/запись или выполнение кода — и напрямую определяет размер выплаты. Это делает процесс начисления наград максимально прозрачным, — объясняют в Apple. — Поскольку Target Flags проверяются программно на нашей стороне, исследователи получат уведомление о награде сразу после валидации флага». Target Flags поддерживаются в iOS, iPadOS, macOS, visionOS, watchOS и tvOS. Также в Apple отмечают, что за исключительные исследования с хорошими отчетами специалисты по-прежнему будут получать бонусы, а за баги с низким уровнем воздействия теперь можно получить около 1000 долларов (что призвано мотивировать исследователей продолжать сообщать о своих находках).
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: