Google spune că un angajat Apple a găsit Ziua Zero, dar nu a raportat-o

Credite imagine: S3studio/Getty Images/Getty Images

Google a identificat zero zile în Chrome care au fost găsite de un angajat Apple, Conform comentariilor din raportul oficial de eroare. Deși eroarea în sine nu este demnă de știre, circumstanțele în care această eroare a fost găsită și raportată la Google sunt, cel puțin, bizare.

Potrivit unui angajat GoogleBug-ul a fost găsit inițial de un angajat Apple care participa la concursul de hacking Capture The Flag (CTF) în martie. Dar acest angajat Apple nu a raportat eroarea, care atunci era zero – ceea ce înseamnă că Google nu cunoștea eroarea și încă nu a fost lansat un patch. În schimb, eroarea a fost raportată de altcineva care a participat și el la concurs, care de fapt nu a găsit bug-ul el însuși și nici măcar nu a fost în echipa care a descoperit bug-ul.

„Această problemă a fost raportată de sisu de la echipa CTF HXP și a fost descoperită de un membru al Apple Security Engineering and Architecture (SEAR) în timpul HXP CTF 2022”, a scris Googler.

După ce această poveste a fost publicată pentru prima dată, TechCrunch a văzut un canal Discord unde cineva care pretindea a fi angajatul Apple care a găsit inițial Zero-Day a explicat partea sa a poveștii, în special de ce eroarea nu a fost raportată imediat, ca răspuns la Sisu, persoana care a raportat eroarea la Google.

„Mi-au luat două săptămâni să lucrez la asta cu normă întreagă până am ajuns la fundul de ce”, scrie el [the] Exploata [Proof of Concept] Și notează problema ca să poată fi rezolvată”, a scris persoana care a mers lângă Galileo pe 6 iulie.

READ  Apple a fost nevoită să ofere aplicații native utilizatorilor ruși de iPhone la configurare datorită noii legi

A fost raportat pe 5 iunie, de către compania mea. Da, a fost târziu și există mai multe motive pentru asta. Mai întâi a trebuit să găsesc persoana responsabilă, raportul trebuia să fie semnat de oameni și apoi persoana responsabilă a fost OOO. Este lăudabil că Chrome a decis să o repare cât mai curând posibil, dar cred că nu a fost o urgență reală. Numai tu și echipa mea erați conștienți de asta, și probabil că nu ar fi o mare problemă în lumea asta. funcționează pe Android, este foarte vizibil pentru că îngheață GUI-ul Chrome pentru câteva secunde), a scris Galileo.

Galileo și Cesso nu au răspuns la o solicitare de comentarii.

Apple nu a răspuns la o solicitare de comentarii.

Purtătorul de cuvânt al Google, Ed Fernandez, a declarat pentru TechCrunch într-un e-mail că „înțelegerea noastră generală este greșită”.

„Recomandăm să contactați Apple pentru mai multe detalii”, a scris Fernandez.

Nu este neobișnuit ca echipele CTF și jucătorii CTF să găsească zero zile în timpul competițiilor, mai ales în provocări de această natură și competiții „de profil înalt”, potrivit lui Filippo Cremonese, cercetător implicat în competițiile CTF cu echipa italiană. macaroanecare, apropo, ar putea fi cel mai bun nume de echipă de pirați vreodată.

Ceea ce face povestea acestei erori interesantă este că se pare că a fost descoperită de un angajat Apple într-un produs Google și, din anumite motive, angajatul Apple a decis să nu raporteze eroarea.

în raportul original Pe 26 martie, persoana care a raportat eroarea a spus că eroarea a fost găsită de cineva din echipa COPY în timpul CTF Organizat de echipa HXP. Persoana, al cărei nume nu a fost dezvăluit în raport, a spus că a decis să o raporteze chiar dacă nu l-a găsit ea însăși, deoarece „nu erau 100% siguri că a fost raportat echipei Chromium”.

READ  Witcher 3 PS5 are suport complet DualSense, noi opțiuni grafice și camere, controale, mod foto și multe altele

„Așa că am vrut să fiu în siguranță”, a scris persoana respectivă.

„Deoarece tu ești cel care dezvăluie această problemă și nu există duplicate, se pare că echipa care a descoperit această problemă a ales să nu ni-l dezvăluie?” a scris un angajat Google într-un alt comentariu despre raportul de eroare.

Bug-ul a fost remediat pe 29 martie, conform raportului de eroare. Google a decis să acorde o recompensă de 10.000 USD persoanei care a raportat-o, care, din nou, nu a fost persoana care a găsit-o.

Actualizare, 20 iulie, ora 14:30 ET: această poveste a fost actualizată pentru a include mesaje Discord postate de persoana care susține că a descoperit inițial eroarea.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *