(資料圖片)

蘋果公司宣布對(duì)其漏洞賞金計(jì)劃進(jìn)行重大改革，將最高獎(jiǎng)勵(lì)翻倍至 200 萬(wàn)美元，獎(jiǎng)勵(lì)對(duì)象為那些能夠與雇傭間諜軟件攻擊復(fù)雜程度相媲美的漏洞利用鏈。

蘋果公司表示，如果能將繞過(guò)鎖定模式和在測(cè)試版軟件中發(fā)現(xiàn)的漏洞的獎(jiǎng)勵(lì)加起來(lái)，其總獎(jiǎng)勵(lì)金額可能超過(guò) 500 萬(wàn)美元。該公司聲稱，這是“所有賞金計(jì)劃中最高的獎(jiǎng)勵(lì)”。

該計(jì)劃現(xiàn)在更加注重完整的漏洞利用鏈，而不是單個(gè)漏洞，這反映了現(xiàn)實(shí)世界中攻擊通常將多個(gè)漏洞串聯(lián)在一起的現(xiàn)實(shí)。遠(yuǎn)程入侵向量的獎(jiǎng)勵(lì)也大幅增加，但在實(shí)際攻擊中不常見(jiàn)的類別獲得的獎(jiǎng)勵(lì)會(huì)有所降低。

作為改革的一部分，蘋果公司推出了“目標(biāo)標(biāo)志”，其靈感源自“奪旗”游戲。當(dāng)研究人員成功利用漏洞時(shí)，他們可以捕獲一個(gè)特定的標(biāo)志，該標(biāo)志可以準(zhǔn)確證明他們獲得了何種級(jí)別的訪問(wèn)權(quán)限，例如代碼執(zhí)行或任意讀/寫權(quán)限。

這些標(biāo)記可由蘋果驗(yàn)證，因此使用這些標(biāo)記提交報(bào)告的研究人員在驗(yàn)證捕獲的標(biāo)記后即可立即收到賞金通知。賞金將在即將到來(lái)的付款周期發(fā)放，這意味著研究人員無(wú)需等到蘋果發(fā)布軟件修復(fù)程序（這可能需要數(shù)月時(shí)間）。

更新后的計(jì)劃將于 2025 年 11 月生效。

關(guān)鍵詞： 蘋果公司 液態(tài)玻璃 知名企業(yè) 漏洞賞金