
Ekspert Safari-də aşkar etdiyi ciddi boşluğa görə Apple-dan cəmi 1000$ mükafat alıb
Təhlükəsizlik
31.07.2025
Emil
Apple kibertəhlükəsizlik sahəsindəki mütəxəssisləri məhsullarında boşluqları tapmağa və bu barədə məlumat verməyə təşviq edir - mükafat məbləği 2 milyon dollara qədər ola bilər. Lakin Safari brauzerində 10 üzərindən 9.8 səviyyəsində qiymətləndirilmiş kritik boşluq aşkarlayan tədqiqatçılardan biri bildirib ki, bu tapıntıya görə cəmi 1000$ alıb. 2022-ci ildə Apple boşluqların aşkarlanması üzrə mükafat proqramını yeniləyib və orta ödənişin 40 000$ olduğunu elan edib. Hətta 20-yə yaxın “ciddi problem”ə görə 6 rəqəmli məbləğlər də təklif olunub. Məsələn, Mac və iPhone kameralarını uğurla sındıran bir tələbəyə 175 000$ ödənilib.

Digər tərəfdən, Safari-də kritik xəta tapan istifadəçiyə isə cəmi 1000$ verilib. CVE-2025-30466 identifikatorlu boşluq Safari 18.4 versiyasında, 2025-ci ilin mart ayında yayımlanmış iOS/iPadOS 18.4 və macOS 15.4 yeniləmələri ilə aradan qaldırılıb. Bu, Universal Cross-Site Scripting (UXSS) tipli bir boşluqdur və hücumçunun özünü etibarlı istifadəçi kimi təqdim edərək onun məlumatlarına çıxış əldə etməsinə imkan verir.
Bu boşluğu aşkarlamış ekspert onun iOS-də iCloud hesabına və kamera tətbiqinə giriş üçün necə istifadə oluna biləcəyini nümayiş etdirib. 1000$ məbləğində aşağı mükafatın verilməsi, bir versiyaya görə, bu boşluğun istismar olunması üçün istifadəçinin müəyyən bir əməliyyatı yerinə yetirməsi zəruriliyi ilə izah olunur. Hücum zamanı istifadəçinin iştirak dərəcəsi Apple-ın mükafat təyin edərkən nəzərə aldığı meyarlardan biridir. Apple, ola bilsin ki, bu boşluğun real istismar riskini düzgün qiymətləndirib. Lakin aşağı mükafatların təhlükəsi ondadır ki, bu, ekspertləri boşluqları şirkətə bildirmək əvəzinə onları qara bazarda satmağa sövq edə bilər.
Paylaş