Google zegt dat een Apple-medewerker Day Zero heeft gevonden, maar er geen melding van heeft gemaakt

Google identificeerde nul dagen in Chrome die werden gevonden door een Apple-medewerker, Volgens de opmerkingen in het officiële bugrapport. Hoewel de bug zelf geen nieuwswaarde heeft, zijn de omstandigheden waarin deze bug werd gevonden en gerapporteerd aan Google op zijn zachtst gezegd bizar.

Dat meldt een Google-medewerkerDe bug werd oorspronkelijk gevonden door een Apple-medewerker die in maart deelnam aan de hackwedstrijd Capture The Flag (CTF). Maar deze Apple-medewerker rapporteerde de bug niet, die was toen nul – wat betekent dat Google niet op de hoogte was van de bug en dat er nog geen patch is uitgebracht. In plaats daarvan werd de bug gemeld door iemand anders die ook aan de wedstrijd deelnam, die de bug niet zelf vond en niet eens in het team zat dat de bug ontdekte.

“Dit probleem werd gemeld door sisu van het CTF HXP-team en werd ontdekt door een lid van Apple Security Engineering and Architecture (SEAR) tijdens HXP CTF 2022”, schreef de Googler.

Nadat dit verhaal voor het eerst was gepubliceerd, zag TechCrunch een Discord-kanaal waar iemand die beweerde de Apple-medewerker te zijn die Zero-Day oorspronkelijk had gevonden, zijn kant van het verhaal uitlegde, met name waarom de bug niet meteen werd gemeld, in reactie op Sisu, de persoon die de bug aan Google heeft gemeld.

“Het kostte me twee weken om er fulltime aan te werken totdat ik doorhad waarom”, schrijft hij [the] Uitbuiten [Proof of Concept] En schrijf het probleem op zodat het opgelost kan worden”, schreef de persoon die naast Galileo ging op 6 juli.

READ  Nieuwe NASA-maankaarten helpen ontwikkelaars bij het plannen van een roadtrip op de maan voor de Artemis-missie van VIPER

Het werd op 5 juni gemeld door mijn bedrijf. Ja, het was laat en daar zijn meerdere redenen voor. Eerst moest ik de verantwoordelijke vinden, het rapport moest door mensen worden ondertekend en vervolgens was de verantwoordelijke OOO. Het is lovenswaardig dat Chrome besloot het zo snel mogelijk te repareren, maar ik denk dat er geen echte urgentie was. Alleen jij en mijn team waren ervan op de hoogte en het probleem zou in de praktijk waarschijnlijk niet groot zijn (het werkt niet op Android, het is erg zichtbaar omdat het bevriest de GUI van Chrome voor een paar seconden), schreef Galileo.

Galileo en Cesso hebben niet gereageerd op een verzoek om commentaar.

Apple reageerde niet op een verzoek om commentaar.

Google-woordvoerder Ed Fernandez vertelde TechCrunch in een e-mail dat “ons publieke begrip in gebreke is gebleven”.

“We raden aan contact op te nemen met Apple voor meer details”, schreef Fernandez.

Volgens Filippo Cremonese, een onderzoeker die betrokken is bij CTF-competities met het Italiaanse team, is het niet ongebruikelijk dat CTF-teams en CTF-spelers nul dagen vinden tijdens competities, vooral bij dit soort uitdagingen en ‘high profile’-competities. macaroniwat trouwens misschien wel de beste piratenteamnaam ooit is.

Wat het verhaal van deze bug interessant maakt, is dat deze blijkbaar door een Apple-medewerker in een Google-product is ontdekt en om de een of andere reden heeft de Apple-medewerker besloten de bug niet te melden.

in het oorspronkelijke rapport Op 26 maart zei de persoon die de bug rapporteerde dat de bug was gevonden door iemand van het COPY-team tijdens CTF Georganiseerd door het team HXP. De persoon, wiens naam niet in het rapport werd vermeld, zei dat ze besloten hadden het te melden, zelfs als ze het zelf niet hadden gevonden, omdat “ze er niet 100% zeker van waren dat het aan het Chromium-team was gemeld.”

READ  App-trackingbeveiliging voor Android

“Dus ik wilde veilig zijn”, schreef de persoon.

“Aangezien u degene bent die dit probleem openbaar maakt en er geen duplicaten zijn, lijkt het erop dat het team dat dit probleem heeft ontdekt ervoor heeft gekozen het niet aan ons bekend te maken?” schreef een Google-medewerker in een ander commentaar op het bugrapport.

Volgens het bugrapport is de bug op 29 maart verholpen. Google besloot een bugbounty van $ 10.000 te geven aan de persoon die het rapporteerde, wat wederom niet de persoon was die het vond.

Update, 20 juli, 14:30 ET: Dit verhaal is bijgewerkt met Discord-berichten die zijn gepost door de persoon die beweert de bug oorspronkelijk te hebben ontdekt.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *