Google, bir Apple çalışanının Day Zero’yu bulduğunu ancak bildirmediğini söylüyor

Resim kredisi: S3studio/Getty Images/Getty Images

Google, bir Apple çalışanı tarafından bulunan Chrome’da sıfır gün tespit etti. Resmi hata raporundaki yorumlara göre. Hatanın kendisi haber değeri taşımasa da, bu hatanın bulunma ve Google’a bildirilme koşulları en hafif tabirle tuhaf.

Bir Google çalışanına göreHata ilk olarak Mart ayında Capture The Flag (CTF) bilgisayar korsanlığı yarışmasına katılan bir Apple çalışanı tarafından bulundu. Ancak bu Apple çalışanı, o sırada sıfır olan hatayı bildirmedi – bu, Google’ın hatadan haberi olmadığı ve henüz bir yama yayınlanmadığı anlamına gelir. Bunun yerine, hata, yarışmaya katılan başka biri tarafından rapor edildi.Aslında hatayı kendisi bulmadı ve hatayı yakalayan takımda bile değildi.

Google çalışanı, “Bu sorun CTF HXP ekibinden sisu tarafından bildirildi ve Apple Security Engineering and Architecture (SEAR) üyesi tarafından HXP CTF 2022 sırasında keşfedildi” diye yazdı.

Bu hikaye ilk kez yayınlandıktan sonra TechCrunch, Zero-Day’i orijinal olarak bulan Apple çalışanı olduğunu iddia eden birinin, hatayı Google’a bildiren sisu’ya yanıt olarak hikayenin kendi tarafını, özellikle de hatayı neden hemen bildirmediklerini açıkladığı bir Discord kanalı gördü.

“Nedeninin temeline inene kadar üzerinde tam zamanlı çalışmam iki haftamı aldı” diye yazıyor. [the] Faydalanmak [Proof of Concept] 6 Temmuz’da Galileo’nun yanına giden kişi, çözülebilmesi için sorunu bir yere not edin” diye yazmıştı.

5 Haziran’da şirketim tarafından bildirildi. Evet, gecikti ve bunun birden fazla nedeni var. Önce yetkili kişiyi bulmam gerekiyordu, raporun insanlar tarafından imzalanması gerekiyordu ve ardından sorumlu kişi BOO oldu. Chrome’un bunu en kısa sürede düzeltmeye karar vermesi övgüye değer, ancak bence aciliyet yoktu. Yalnızca siz ve ekibim bunun farkındaydı ve gerçek dünya senaryosunda sorun muhtemelen fazla olmayacaktı (Android’de çalışmaz, çok görünür çünkü Galileo, Chrome’un GUI’sini birkaç saniye dondurur), yazdı.

Galileo ve Sesso yorum talebine hemen yanıt vermediler.

Apple, yorum talebine yanıt vermedi.

Google sözcüsü Ed Fernandez, TechCrunch’a bir e-postada “genel anlayışımızın yanlış olduğunu” söyledi.

“Biz [recommend] Daha fazla ayrıntı için Apple’a ulaşın,” diye yazdı Fernandez.

İtalyan takımıyla CTF müsabakalarında yer alan bir araştırmacı olan Filippo Cremonese’ye göre, CTF takımlarının ve CTF oyuncularının müsabakalar sırasında, özellikle de bu tür zorluklarda ve “yüksek profilli” müsabakalarda sıfır gün bulması alışılmadık bir durum değil. makarnaBu arada bu gelmiş geçmiş en iyi korsan takımı ismi olabilir.

Bu bug’ın hikayesini ilginç kılan şey ise görünüşe göre bir Apple çalışanı tarafından bir Google ürününde keşfedilmiş ve Apple çalışanı nedense bu bug’ı bildirmemeye karar vermiş.

orijinal raporda 26 Mart’ta hatayı bildiren kişi, hatanın COPY ekibinden biri tarafından bulunduğunu söyledi. CTF sırasında Ekip tarafından düzenlenen xhp. Raporda adı açıklanmayan kişi, “Chromium ekibine bildirildiğinden %100 emin olmadıkları için” kendileri bulmasalar bile bildirmeye karar verdiklerini söyledi.

Kişi, “Bu yüzden güvende olmak istedim” diye yazdı.

“Bu sorunu ifşa eden siz olduğunuza ve yinelenen bir durum olmadığına göre, bu sorunu keşfeden ekip bunu bize açıklamamayı seçmiş gibi görünüyor?” hata raporuyla ilgili başka bir yorumda bir Google çalışanı yazdı.

Hata raporuna göre hata 29 Mart’ta düzeltildi. Google, bunu bildiren kişiye 10.000 dolarlık bir hata ödülü vermeye karar verdi, ki bu yine onu bulan kişi değildi.

Güncelleme, 20 Temmuz, 14:30 ET: Bu hikaye, hatayı ilk olarak keşfettiğini iddia eden kişi tarafından gönderilen Discord mesajlarını içerecek şekilde güncellendi.