メモ

米Appleはラスベガスで開かれたセキュリティカンファレンスのBlack Hatで8月4日、脆弱性情報の提供者に報奨金を支払う同社初のバグバウンティプログラムを発表した。メディア各社が伝えた。
Securosisのブログ
セキュリティ企業Securosisのブログなどによると、報奨金制度はAppleのセキュリティ責任者アイバン・クリスティック氏がBlack Hatの講演で発表した。iOSの脆弱性の発見者に対して最大で20万ドルの賞金を支払う内容で、当面、参加できるのはAppleに招待された数十人のみ。それ以外の研究者なども、脆弱性情報を提供して同社に認められれば参加できる可能性はあるという。
　脆弱性は5分野に分類して情報の提供を募る。最高賞金額はセキュアブートファームウェアコンポーネントの脆弱性に20万ドル、Secure Enclaveで保護された内容の抽出に同10万ドル、カーネル権限での任意のコード実行に同5万ドル、Appleサーバ上のiCloudアカウントデータに対する不正アクセスに5万ドル、サンドボックス化されたプロセスからサンドボックス外のユーザーデータに対するアクセスに2万5000ドルをそれぞれ用意する。

米Appleが初の報奨金制度、脆弱性発見者に最大20万ドル - ITmedia エンタープライズ