Google zegt dat een Apple-medewerker Day Zero heeft gevonden, maar er geen melding van heeft gemaakt

Afbeeldingscredits: S3studio/Getty Images/Getty Images

Google identificeerde nul dagen in Chrome die werden gevonden door een Apple-medewerker, Volgens de opmerkingen in het officiële bugrapport. Hoewel de bug zelf geen nieuwswaarde heeft, zijn de omstandigheden waarin deze bug werd gevonden en gerapporteerd aan Google op zijn zachtst gezegd bizar.

Dat meldt een Google-medewerkerDe bug werd oorspronkelijk gevonden door een Apple-medewerker die in maart deelnam aan de hackwedstrijd Capture The Flag (CTF). Maar deze Apple-medewerker rapporteerde de bug niet, die was toen nul – wat betekent dat Google niet op de hoogte was van de bug en dat er nog geen patch is uitgebracht. In plaats daarvan werd de bug gemeld door iemand anders die ook meedeed aan de wedstrijd.Hij vond de bug niet zelf en zat niet eens in het team dat de bug opving.

“Dit probleem werd gemeld door sisu van het CTF HXP-team en werd ontdekt door een lid van Apple Security Engineering and Architecture (SEAR) tijdens HXP CTF 2022”, schreef de Googler.

Nadat dit verhaal voor het eerst was gepubliceerd, zag TechCrunch een Discord-kanaal waar iemand die beweerde de Apple-medewerker te zijn die Zero-Day oorspronkelijk had gevonden, zijn kant van het verhaal uitlegde, met name waarom ze de bug niet meteen meldden, in reactie op sisu, de persoon die de bug aan Google heeft gemeld.

“Het kostte me twee weken om er fulltime aan te werken totdat ik doorhad waarom”, schrijft hij [the] Uitbuiten [Proof of Concept] En schrijf het probleem op zodat het opgelost kan worden”, schreef de persoon die naast Galileo ging op 6 juli.

Het werd op 5 juni gemeld door mijn bedrijf. Ja, het was laat en daar zijn meerdere redenen voor. Eerst moest ik de verantwoordelijke persoon vinden, het rapport moest door mensen worden ondertekend en vervolgens was de verantwoordelijke OOO. Het is prijzenswaardig dat Chrome besloot het zo snel mogelijk te repareren, maar ik denk dat er geen echte urgentie was. Alleen jij en mijn team waren ervan op de hoogte en het probleem zou in de praktijk waarschijnlijk niet groot zijn (het werkt niet op Android, het is erg zichtbaar omdat het bevriest de GUI van Chrome voor een paar seconden), schreef Galileo.

Galileo en Sesso reageerden niet onmiddellijk op een verzoek om commentaar.

Apple reageerde niet op een verzoek om commentaar.

Google-woordvoerder Ed Fernandez vertelde TechCrunch in een e-mail dat “ons algemene begrip verkeerd is”.

“We raden aan contact op te nemen met Apple voor meer details”, schreef Fernandez.

Volgens Filippo Cremonese, een onderzoeker die betrokken is bij CTF-competities met het Italiaanse team, is het niet ongebruikelijk dat CTF-teams en CTF-spelers nul dagen vinden tijdens competities, vooral bij dit soort uitdagingen en ‘high profile’-competities. macaroniwat trouwens misschien wel de beste piratenteamnaam ooit is.

Wat het verhaal van deze bug interessant maakt, is dat deze blijkbaar door een Apple-medewerker in een Google-product is ontdekt en om de een of andere reden heeft de Apple-medewerker besloten de bug niet te melden.

in het oorspronkelijke rapport Op 26 maart zei de persoon die de bug rapporteerde dat de bug was gevonden door iemand van het COPY-team tijdens CTF Georganiseerd door het team xp. De persoon, wiens naam niet in het rapport werd vermeld, zei dat ze besloten hadden om het te melden, zelfs als ze het zelf niet konden vinden, omdat “ze er niet 100% zeker van waren dat het aan het Chromium-team was gemeld.”

“Dus ik wilde veilig zijn”, schreef de persoon.

“Aangezien u degene bent die dit probleem openbaar maakt en er geen duplicaten zijn, lijkt het erop dat het team dat dit probleem heeft gedetecteerd ervoor heeft gekozen het niet aan ons bekend te maken?” schreef een Google-medewerker in een ander commentaar op het bugrapport.

Volgens het bugrapport is de bug op 29 maart verholpen. Google besloot een bounty van $ 10.000 te geven aan de persoon die de fout had gemeld, wat wederom niet de persoon was die de bug had gevonden.

Update, 20 juli, 14:30 ET: Dit verhaal is bijgewerkt met Discord-berichten die zijn gepost door de persoon die beweert de bug oorspronkelijk te hebben ontdekt.