Google zidentyfikował zero dni w Chrome, które znalazł pracownik Apple, Zgodnie z komentarzami w oficjalnym raporcie o błędzie. Chociaż sam błąd nie jest warty opublikowania, okoliczności, w jakich został znaleziony i zgłoszony do Google, są co najmniej dziwne.
Według pracownika GoogleBłąd został pierwotnie znaleziony przez pracownika Apple, który brał udział w marcowym konkursie hakerskim Capture The Flag (CTF). Ale ten pracownik Apple nie zgłosił błędu, którego wtedy było zero – co oznacza, że Google nie wiedział o błędzie, a łatka nie została jeszcze wydana. Zamiast tego błąd został zgłoszony przez inną osobę, która również uczestniczyła w konkursie, a która tak naprawdę sama nie znalazła błędu i nie była nawet w zespole, który go odkrył.
„Ten problem został zgłoszony przez sisu z zespołu CTF HXP i został odkryty przez członka Apple Security Engineering and Architecture (SEAR) podczas HXP CTF 2022” – napisał Googler.
Po pierwszym opublikowaniu tej historii TechCrunch zobaczył kanał Discord, na którym ktoś podający się za pracownika Apple, który pierwotnie znalazł Zero-Day, wyjaśnił swoją wersję historii, w szczególności dlaczego błąd nie został zgłoszony od razu, w odpowiedzi do Sisu, osoby, która zgłosiła błąd do Google.
„Praca nad tym na pełny etat zajęła mi dwa tygodnie, zanim doszedłem do sedna, dlaczego” – pisze [the] Wykorzystać [Proof of Concept] I zapisz problem, aby można go było rozwiązać” – napisała osoba, która 6 lipca była obok Galileo.
Zostało to zgłoszone 5 czerwca przez moją firmę. Tak, było późno i jest wiele powodów. Najpierw musiałem znaleźć osobę odpowiedzialną, raport musiał być podpisany przez ludzi, a następnie osobą odpowiedzialną była OOO. Godne pochwały jest to, że Chrome zdecydował się to naprawić jak najszybciej, ale myślę, że nie było pilnej potrzeby. Tylko ty i mój zespół byliście tego świadomi, a problem prawdopodobnie nie byłby duży w rzeczywistym scenariuszu (nie działa na Androidzie, jest bardzo widoczny, ponieważ zawiesza GUI Chrome na kilka sekund), napisał Galileo.
Galileo i Cesso nie odpowiedzieli na prośbę o komentarz.
Apple nie odpowiedział na prośbę o komentarz.
Rzecznik Google, Ed Fernandez, powiedział TechCrunch w e-mailu, że „nasze publiczne zrozumienie jest błędne”.
„Zalecamy skontaktowanie się z Apple w celu uzyskania szczegółowych informacji” – napisał Fernandez.
Nierzadko zdarza się, że drużyny CTF i gracze CTF znajdują zero dni podczas zawodów, zwłaszcza w tego typu wyzwaniach i „wysokich” zawodach, według Filippo Cremonese, badacza zaangażowanego w zawody CTF z włoską drużyną. makaronktóra, nawiasem mówiąc, może być najlepszą nazwą zespołu piratów w historii.
To, co sprawia, że historia tego błędu jest interesująca, to fakt, że najwyraźniej został on odkryty przez pracownika Apple w produkcie Google iz jakiegoś powodu pracownik Apple postanowił nie zgłaszać błędu.
w oryginalnym raporcie 26 marca osoba, która zgłosiła błąd, powiedziała, że błąd został znaleziony przez kogoś z zespołu COPY podczas CTF Organizowane przez zespół HXP. Osoba, której nazwiska nie ujawniono w raporcie, powiedziała, że zdecydowała się to zgłosić, nawet jeśli sama tego nie znalazła, ponieważ „nie była w 100% pewna, że została zgłoszona zespołowi Chromium”.
„Więc chciałem być bezpieczny” – napisała osoba.
„Ponieważ to ty ujawniasz ten problem i nie ma duplikatów, wygląda na to, że zespół, który odkrył ten problem, zdecydował się go nam nie ujawniać?” napisał pracownik Google w innym komentarzu do raportu o błędzie.
Błąd został naprawiony 29 marca, zgodnie z raportem o błędzie. Google zdecydowało się przyznać nagrodę za błąd w wysokości 10 000 USD osobie, która go zgłosiła, co znowu nie było osobą, która go znalazła.
Aktualizacja, 20 lipca, 14:30 ET: Ta historia została zaktualizowana, aby zawierała wiadomości Discord opublikowane przez osobę, która twierdzi, że odkryła błąd.
. „Nieuleczalny entuzjasta muzyki. Bacon geek. Badacz internetu. Hipsterski miłośnik telewizji”.