Google говорит, что сотрудник Apple нашел Day Zero, но не сообщил об этом

Google определил нулевые дни в Chrome, который обнаружил сотрудник Apple, Согласно комментариям в официальном отчете об ошибке. Хотя сама ошибка не заслуживает освещения в печати, обстоятельства того, как она была обнаружена и о ней было сообщено в Google, по меньшей мере странные.

По словам сотрудника GoogleОшибка была первоначально обнаружена сотрудником Apple, участвовавшим в хакерском конкурсе Capture The Flag (CTF) в марте. Но этот сотрудник Apple не сообщил об ошибке, которая тогда была нулевой — это означает, что Google не знал об ошибке, и патч еще не был выпущен. Вместо этого об ошибке сообщил другой человек, также участвовавший в конкурсе, который сам не обнаружил ошибку и даже не был в команде, обнаружившей ошибку.

«Об этой проблеме сообщил sisu из команды CTF HXP, и она была обнаружена членом Apple Security Engineering and Architecture (SEAR) во время HXP CTF 2022», — написал сотрудник Google.

После того, как эта история была впервые опубликована, TechCrunch увидел канал Discord, где некто, утверждающий, что он сотрудник Apple, который первоначально нашел Zero-Day, объяснил свою версию истории, в частности, почему об ошибке не сообщили сразу, в ответ Сису, человеку, сообщившему об ошибке в Google.

«Мне потребовалось две недели, чтобы работать над этим полный рабочий день, пока я не понял, почему», — пишет он. [the] Эксплойт [Proof of Concept] И запишите проблему, чтобы ее можно было решить», — написал человек, который шел рядом с Галилео 6 июля.

Моя компания сообщила об этом 5 июня. Да, было поздно, и на это было несколько причин. Сначала мне нужно было найти ответственное лицо, отчет должен был быть подписан людьми, а затем ответственным лицом было ООО. Похвально, что Chrome решил исправить это как можно скорее, но я думаю, что особой срочности не было. Только вы и моя команда знали об этом, и проблема, вероятно, не будет большой в реальном сценарии (это не работает на Android, это очень заметно потому что он замораживает графический интерфейс Chrome на несколько секунд), пишет Галилео.

История продолжается

Galileo и Cesso не ответили на запрос о комментариях.

Apple не ответила на запрос о комментариях.

Представитель Google Эд Фернандес сказал TechCrunch в электронном письме, что «наша общественность виновата».

«Мы рекомендуем связаться с Apple для получения более подробной информации», — написал Фернандес.

По словам Филиппо Кремонезе, исследователя, участвовавшего в соревнованиях CTF с итальянской командой, команды CTF и игроки CTF нередко обнаруживают нулевые дни во время соревнований, особенно в задачах такого рода и «громких» соревнованиях. макаронычто, кстати, может быть лучшим названием пиратской команды.

Что делает историю с этой ошибкой интересной, так это то, что она, по-видимому, была обнаружена сотрудником Apple в продукте Google, и по какой-то причине сотрудник Apple решил не сообщать об ошибке.

в исходном отчете 26 марта человек, сообщивший об ошибке, сказал, что ошибка была обнаружена кем-то из команды COPY. во время CTF Организовано командой HXP. Человек, чье имя не было указано в отчете, сказал, что решил сообщить об этом, даже если они не нашли его сами, потому что «они не были на 100% уверены, что об этом сообщили команде Chromium».

«Поэтому я хотел быть в безопасности», — написал человек.

«Поскольку вы раскрыли эту проблему, а дубликатов нет, похоже, что команда, обнаружившая эту проблему, решила не раскрывать ее нам?» — написал сотрудник Google в другом комментарии к отчету об ошибке.

Согласно отчету об ошибке, ошибка была исправлена ​​29 марта. Google решил выплатить вознаграждение в размере 10 000 долларов тому, кто сообщил об ошибке, а это, опять же, не тот человек, который ее нашел.

Обновление, 20 июля, 14:30 по восточному времени: эта история была обновлена ​​и теперь включает сообщения Discord, опубликованные человеком, который утверждает, что изначально обнаружил ошибку.