iOS 17.5で修正された脆弱性「CVE-2024-27804」の内容を撤回し変更、報告者には無報酬から1,000ドルの支払いに

iOS 17.5 / iPadOS 17.5にて修正され、その後PoC（概念実証）コードが公開されていた脆弱性「CVE-2024-27804」ですが、Appleによりセキュリティアップデート内容が撤回され、変更となっています。
また、元々脆弱性の報告者には報奨金の支払いが無しと通知されていた様ですが、こちらも変更されたとの報告が行われています。

CVE-2024-27804の内容が変更

「CVE-2024-27804」はiOS 17.5 / iPadOS 17.5にて修正された脆弱性となっており、Appleが公開したセキュリティアップデートには「アプリがカーネル権限で任意のコードを実行できる可能性がある」と記載されていました。
その後PoCが公開されていたりもしたのですが、本日…Appleがセキュリティアップデート内容を撤回・変更し「アプリが予期せぬシステム終了を引き起こす可能性がある」となっています。

脆弱性の報告者であるMeysam氏によると、Appleは「本脆弱性は悪用可能ではない」と結論づけたようで、今回の撤回・変更が行われたとのこと。

報奨金なし…から一転、1000ドルの対象に

seem Apple have concluded that the reported CVE is not exploitable and they are planning to update the description to accurately describe the issue as an unexpected system termination rather than arbitrary code execution, but for good faith they will reward me 1000$.thanks @Apple https://t.co/73ulwx6FfQ

— Meysam (@R00tkitSMM) May 15, 2024

当初、AppleはMeysam氏に対して「報告された脆弱性は報奨金の基準に適合していない」として、報奨金の支払いは無しと通知していました。
ですが、理由等の報告は出てきていないものの、Appleの”誠意”により1000ドルの報奨金が支払われることになったとのこと。

〆

これにより脱獄待ちなどに影響があるか？と言われると…特に大きな違いはないかなという感じでしょうか。

ちなみに、よく勘違いされがちなのですが、Appleのバグバウンティ規定は色々と厳しい部分があるそうで、脆弱性を報告したからといって多額の報奨金が支払われるわけではないそうです。
以前、他のセキュリティ研究者さんからは…特に重大な脆弱性ほど報奨金の対象にならない場合がある…なんて報告もされていたりしました。
現在は改善されている可能性もありますが、私達が思っているほど簡単ではない様です…。