A Google szerint az Apple egyik alkalmazottja megtalálta a nulladik napot, de nem jelentette

A Google nulla napot azonosított a Chrome-ban, amelyet az Apple alkalmazottja talált, A hivatalos hibajelentésben szereplő megjegyzések szerint. Bár a hiba önmagában nem hírértékű, a hiba megtalálásának és a Google-nak való bejelentésének körülményei enyhén szólva is bizarr.

A Google egyik alkalmazottja szerintA hibát eredetileg egy Apple-alkalmazott találta meg, aki a Capture The Flag (CTF) hackerversenyen vett részt márciusban. De ez az Apple-alkalmazott nem jelentette a hibát, ami akkor nulla volt – ami azt jelenti, hogy a Google nem tudott a hibáról, és még nem adtak ki javítást. Ehelyett a hibát valaki más jelentette, aki szintén részt vett a versenyben, aki valójában nem maga találta meg a hibát, és nem is volt a hibát felfedező csapat tagja.

„A problémát a sisu jelentette a CTF HXP csapatától, és az Apple Security Engineering and Architecture (SEAR) egyik tagja fedezte fel a HXP CTF 2022 során” – írta a Google munkatársa.

A történet első közzététele után a TechCrunch látott egy Discord csatornát, ahol valaki, aki azt állítja magáról, hogy ő az Apple alkalmazottja, aki eredetileg megtalálta a Zero-Dayt, elmagyarázta a történet saját oldalát, különösen azt, hogy miért nem jelentették azonnal a hibát, válaszul Sisunak, a hibát a Google-nak jelentő személynek.

„Két hétbe telt, amíg teljes munkaidőben dolgoztam rajta, amíg rájöttem, miért” – írja [the] Kihasználni [Proof of Concept] És írd le a problémát, hogy meg lehessen oldani” – írta az a személy, aki július 6-án a Galileo mellé ment.

Június 5-én jelentette a cégem. Igen, késő volt, és ennek több oka is van. Először meg kellett találnom a felelőst, a jelentést alá kellett írni az embereknek, majd a felelős OOO. Dicséretes, hogy a chrome úgy döntött, hogy mielőbb kijavítja, de azt hiszem, nem volt igazán sürgős. Valószínűleg csak te és a csapatom volt tisztában a problémával. t működik Androidon, nagyon jól látható, mert néhány másodpercre lefagy a Chrome grafikus felülete) – írta a Galileo.

A történet folytatódik

Galileo és Cesso nem válaszolt egy megjegyzéskérésre.

Az Apple nem válaszolt a megjegyzéskérésre.

A Google szóvivője, Ed Fernandez e-mailben azt mondta a TechCrunchnak, hogy „a közmegértésünk a hibás”.

„Javasoljuk, hogy vegye fel a kapcsolatot az Apple-lel további részletekért” – írta Fernandez.

Filippo Cremonese, az olasz csapat CTF-versenyeiben részt vevő kutató szerint nem ritka, hogy a CTF-csapatok és a CTF-játékosok nulla napot találnak a versenyek során, különösen az ilyen jellegű kihívások és a „nagy horderejű” versenyek során. makaróniami egyébként talán a valaha volt legjobb kalózcsapat neve.

A hiba történetét az teszi érdekessé, hogy nyilvánvalóan az Apple egyik alkalmazottja fedezte fel egy Google-termékben, és valamiért az Apple alkalmazottja úgy döntött, hogy nem jelenti be a hibát.

az eredeti jelentésben Március 26-án a hibát bejelentő személy azt mondta, hogy a hibát valaki a COPY csapatból találta. CTF alatt A csapat szervezésében HXP. A személy, akinek a nevét nem hozták nyilvánosságra a jelentésben, azt mondta, úgy döntöttek, hogy feljelentik, még akkor is, ha maguk nem találták meg, mert „nem voltak 100%-ig biztosak abban, hogy jelentették a Chromium csapatának”.

„Szóval biztonságban akartam lenni” – írta az illető.

„Mivel Ön fedte fel ezt a problémát, és nincsenek ismétlődések, úgy tűnik, hogy a problémát felfedező csapat úgy döntött, hogy nem fedi fel nekünk?” – írta egy Google-alkalmazott egy másik megjegyzésében a hibajelentéshez.

A hibajelentés szerint a hibát március 29-én javították ki. A Google úgy döntött, hogy 10 000 dolláros hibajutalomban részesíti azt a személyt, aki bejelentette, és megint csak nem ő találta meg.

Frissítés, július 20., 14:30 ET: Ezt a történetet frissítettük, hogy tartalmazza azokat a Discord-üzeneteket, amelyeket az a személy tett közzé, aki azt állítja, hogy eredetileg felfedezte a hibát.