Исследователь безопасности получил лишь $1000 за критическую уязвимость в Safari

Исследователь безопасности под ником Renwa обнаружил несколько серьёзных уязвимостей в браузере Safari и операционной системе Sequoia от Apple. Среди них была критическая проблема, позволявшая злоумышленникам обходить политику Same Origin Policy с помощью атаки UXSS (Universal Cross-site Scripting). Эта уязвимость получила максимальный балл 9.8 по шкале CVSS, что указывает на её крайнюю опасность.

Несмотря на серьёзность находки, Apple выплатила исследователю вознаграждение в размере всего $1000 (примерно 80 000 рублей). В своём посте в X (бывший Twitter) Renwa с иронией написал: «Пора бросить это дело с баг-баунти и найти нормальную работу».

«Я должен бросить это баг-баунти и найти нормальную работу»

Сумма выглядит особенно скромной на фоне того, что Apple предлагает до $1 млн (80 млн рублей) за обнаружение уязвимостей в своих Private Cloud Compute серверах. Для сравнения, Google недавно выплатил $1000-2000 за обнаружение менее критичных проблем в Chrome.

Другие компании демонстрируют более щедрый подход к вознаграждениям за обнаружение уязвимостей. Например, Valve в 2021 году заплатила $7500 за обнаружение бага, позволявшего создавать бесконечные средства в Steam Wallet, а в 2022 году Rockstar наградила игрока GTA Online $10000 за помощь в ускорении загрузки игры.

Apple признала заслуги исследователя в обновлении безопасности Safari 18.4, где указала, что уязвимость CVE-2025-30466 была устранена путём «улучшения управления состоянием».

Подписаться на обновления Новости / Технологии
Зарегистрируйтесь на сайте, чтобы отключить рекламу

ℹ️ Помощь от ИИ

В статье есть ошибки или у вас есть вопрос? Попробуйте спросить нашего ИИ-помощника в комментариях и он постарается помочь!

⚠️ Важно:

• AI Rutab читает ваши комментарии и готов вам помочь.
• Просто задайте вопрос 👍
• ИИ может давать неточные ответы!
• ИИ не скажет «Я не знаю», но вместо этого может дать ошибочный ответ.
• Всегда проверяйте информацию и не полагайтесь на него как на единственный источник.
• К ИИ-помощнику можно обратиться по имени Rutab или Рутаб.


0 комментариев

Оставить комментарий


Все комментарии - Технологии