Google říká, že zaměstnanec Applu našel Day Zero, ale nenahlásil to

Google říká, že zaměstnanec Applu našel Day Zero, ale nenahlásil to

Google identifikoval nula dní v prohlížeči Chrome, který našel zaměstnanec společnosti Apple, Podle komentářů v oficiální zprávě o chybě. I když samotná chyba není hodnotná, okolnosti, jak byla tato chyba nalezena a nahlášena Googlu, jsou přinejmenším bizarní.

Podle zaměstnance společnosti GoogleChybu původně našel zaměstnanec Applu, který se v březnu účastnil hackerské soutěže Capture The Flag (CTF). Tento zaměstnanec Applu ale chybu nenahlásil, která byla tehdy nula – což znamená, že Google o chybě nevěděl a oprava ještě nebyla vydána. Místo toho chybu nahlásil někdo jiný, kdo se také účastnil soutěže, který ve skutečnosti sám chybu nenašel a ani nebyl v týmu, který chybu objevil.

„Tento problém nahlásil sisu z týmu CTF HXP a objevil ho člen Apple Security Engineering and Architecture (SEAR) během HXP CTF 2022,“ napsal zaměstnanec společnosti Google.

Poté, co byl tento příběh poprvé zveřejněn, viděl TechCrunch kanál Discord, kde někdo, kdo tvrdil, že je zaměstnancem společnosti Apple, který původně našel Zero-Day, vysvětlil svou stránku příběhu, zejména proč nebyla chyba nahlášena okamžitě, v reakci na Sisu, osobu, která chybu nahlásila Googlu.

„Trvalo mi dva týdny, než jsem na tom pracoval naplno, než jsem přišel na to proč,“ píše [the] Využívat [Proof of Concept] A zapište si problém, aby se dal vyřešit,“ napsal člověk, který šel vedle Galilea 6. července.

Bylo to nahlášeno 5. června mou společností. Ano, bylo pozdě a existuje pro to několik důvodů. Nejprve jsem musel najít odpovědnou osobu, zprávu museli podepsat lidé a pak odpovědná osoba byla OOO. Je chvályhodné, že se to chrome rozhodl napravit co nejdříve, ale myslím, že to nebyla žádná skutečná naléhavost. Jen vy a můj tým jste si toho byli vědomi (a v Androidu by to pravděpodobně nebyl skutečný problém, je velmi viditelné, protože na několik sekund zamrzne GUI Chrome), napsal Galileo.

READ  Google buduje podporu pro digitální vakcínové karty COVID v systému Android

Galileo a Cesso nereagovaly na žádost o vyjádření.

Apple na žádost o komentář nereagoval.

Mluvčí Google Ed Fernandez řekl TechCrunch v e-mailu, že „naše veřejné porozumění je na vině“.

„Doporučujeme kontaktovat Apple pro další podrobnosti,“ napsal Fernandez.

Podle Filippa Cremonese, výzkumníka zapojeného do soutěží CTF s italským týmem, není neobvyklé, že týmy CTF a hráči CTF najdou nulové dny během soutěží, zejména ve výzvách tohoto charakteru a „vysokoprofilových“ soutěžích. makarónycož by mimochodem mohlo být nejlepší jméno pirátského týmu vůbec.

Příběh této chyby je zajímavý tím, že ji zjevně objevil zaměstnanec Applu v produktu Google a z nějakého důvodu se zaměstnanec Applu rozhodl chybu nenahlásit.

v původní zprávě 26. března osoba, která chybu nahlásila, uvedla, že chybu našel někdo z COPY týmu během CTF Pořádá tým HXP. Osoba, jejíž jméno nebylo ve zprávě zveřejněno, uvedla, že se rozhodla to nahlásit, i když to sami nenašli, protože si „nebyli 100% jisti, že to bylo nahlášeno týmu Chromium“.

„Takže jsem chtěl být v bezpečí,“ napsal dotyčný.

„Protože jste to vy, kdo tento problém odhaluje a neexistují žádné duplikáty, zdá se, že tým, který tento problém objevil, se rozhodl nám jej nesdělit?“ napsal zaměstnanec společnosti Google v dalším komentáři k hlášení o chybě.

Podle zprávy o chybě byla chyba opravena 29. března. Google se rozhodl dát odměnu 10 000 USD osobě, která ji nahlásila, což opět nebyla osoba, která ji nalezla.

Aktualizace, 20. července, 14:30 ET: Tento příběh byl aktualizován, aby zahrnoval zprávy Discord odeslané osobou, která tvrdí, že původně objevila chybu.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *