7 月 31 日消息,据 Macworld 报道,近日,一名安全研究员在社交平台 X 上发帖称,他发现了一个苹果 Safari 浏览器中的严重漏洞,该漏洞被苹果官方评定为“高危”,严重性评分高达 9.8(满分 10 分),但最终仅获得了 1000 美元( 注:现汇率约合 7197 元人民币)的漏洞赏金。
苹果公司一直鼓励安全研究人员寻找并报告其设备和应用程序中的漏洞,并为此提供最高达 200 万美元(现汇率约合 1439.4 万元人民币)的赏金。早在 2022 年,苹果就曾升级其漏洞赏金计划,并表示平均支付金额为 4 万美元(现汇率约合 28.8 万元人民币),对于“高影响”的漏洞,曾有二十次支付了六位数的赏金。例如,一名学生曾因成功劫持 Mac 和 iPhone 摄像头,获得了总计 17.5 万美元(现汇率约合 125.9 万元人民币)的奖励。
然而,此次事件似乎与苹果的说法大相径庭。这位安全研究员发现了一个名为通用跨站脚本(UXSS)的漏洞,该漏洞允许攻击者冒充用户,访问其数据。RenwaX23 展示了该漏洞可被利用来访问 iCloud 和 iOS 相机应用。
根据苹果的记录,这个漏洞被标记为 CVE-2025-30466,其严重性评分为 9.8,被归类为“高危”。苹果已在今年 3 月发布的 Safari 18.4 版本中修复了此漏洞,该版本随 iOS / iPadOS 18.4 和 macOS 15.4 更新同步推出。尽管漏洞性质严重,但 RenwaX23 获得的赏金却只有区区 1000 美元,与其严重性等级极不匹配。
对于赏金过低的原因,Macworld 分析指出,一种可能的解释是,攻击者需要诱骗用户进行某些操作才能利用该漏洞。苹果在确定赏金时,确实将用户交互作为考量标准之一。
不过,另一名曾在 X 上发帖的研究员表示,他发现的一个漏洞按照苹果的标准本应获得 5 万美元(现汇率约合 36 万元人民币)的赏金,但最终只收到了 5000 美元(现汇率约合 35985 元人民币)。
