苹果拒绝为 iPhone 中发现的“漏洞”向卡巴斯基实验室支付100万美元

苹果拒绝为 iPhone 中发现的“漏洞”向卡巴斯基实验室支付100万美元 苹果公司拒绝向卡巴斯基实验室支付2023年在 iOS 中发现的漏洞奖励，该漏洞允许攻击者在任何 iPhone 上安装间谍软件模块。根据苹果安全赏金计划，对此类漏洞信息的奖励最高可达100万美元，但苹果拒绝将其支付给卡巴斯基实验室或慈善机构。卡巴斯基实验室俄罗斯研究中心负责人德米特里·加洛夫表示：““我们发现了零日、零点击漏洞，并将所有信息转移给苹果，并做了一项有用的工作。本质上，我们向他们报告了一个漏洞，他们必须为此支付漏洞赏金。但苹果以内部政策为由，拒绝向我们付款，甚至拒绝将款项转赠给慈善机构，而且没有任何解释。”

有史以来最复杂的 iPhone 攻击链：卡巴斯基公布三角测量攻击漏洞细节

有史以来最复杂的 iPhone 攻击链：卡巴斯基公布三角测量攻击漏洞细节 卡巴斯基团队计划在 2024 年发布更多文章介绍三角测量攻击的内容，关于本篇内容有兴趣的用户请阅读 卡巴斯基 报告原文，里面包含各个漏洞的解析： （英文）

RealTek 晶片爆零点击 RCE 漏洞，影响20款设备品牌

RealTek 晶片爆零点击 RCE 漏洞，影响20款设备品牌 本漏洞属于高风险，影响2个版本 RTL819x SoC 系列产品的SDK，包括rtl819x-eCos-v0.x Series和rtl819x-eCos-v1.x Series。瑞昱已在3月释出修补程式。 ======== 然后部分厂家只给最新产品提供修复固件，老产品想修复请买新的

谷歌在2023年支付了1000万美元的漏洞奖金 价值最高的漏洞报告获11.3万美元奖励

谷歌在2023年支付了1000万美元的漏洞奖金 价值最高的漏洞报告获11.3万美元奖励 在 2022 年谷歌向研究人员支付 1,200 万美元的奖金，而在 2023 年谷歌支付了 1,000 万美元的奖金，尽管略低于 2022 年，不过这仍然是一笔非常可观的奖励。谷歌公布的数据显示，2023 年谷歌共向 68 个国家或地区的 632 名研究人员支付了奖金，如果算平均的话，每个人获得 15,822 美元的奖金。不过这种算平均没有意义，多数漏洞的奖金比较低，一些漏洞的奖金非常高，例如在 2023 年单一漏洞报告的最高奖励是 113,337 美元 (约合人民币 81. 万元，注：这里说的是单一漏洞报告而不是单一漏洞，一个报告可能涉及完整的攻击链、里面可能包含多个漏洞利用)在 2023 年占比最高的依然是 Android 系统，谷歌为 Android 方面的漏洞支付了 340 万美元，为了吸引更多研究人员帮助谷歌排查 Android 的漏洞，谷歌还将 Android 平台的单一漏洞奖励提高到最高 15000 美元的奖励。以下是谷歌对 2023 年漏洞赏金计划的总结：推出额外奖励计划，为特定目标提供额外奖励 (例如在去年 6 月 1~12 月 31 日针对 Chrome 沙盒逃逸漏洞的奖金翻倍)将额外奖励计划扩展到 Chrome 和 Cloud，其中以 v8 CTF 为重点，关注 Chrome v8 引擎的安全性针对第一方 Android 应用程序的移动 VRP 启用 (面向谷歌自家预装应用的安全计划)推出 Bughunters 博客，分享互联网见解和安全措施在东京举办 ESCAL8 安全会议，以现场黑客活动、研讨会和讲座为特色自 2010 年谷歌启动漏洞赏金计划以来，谷歌累计支付的奖金高达 5,900 万美元。 ... PC版： 手机版：