Obrazové kredity: S3studio/Getty Images/Getty Images
Google v Chromu identifikoval nula dní, které našel zaměstnanec společnosti Apple, Podle komentářů v oficiální zprávě o chybě. I když samotná chyba není hodnotná, okolnosti, jak byla tato chyba nalezena a nahlášena Googlu, jsou přinejmenším bizarní.
Podle zaměstnance společnosti GoogleChybu původně našel zaměstnanec Applu, který se v březnu účastnil hackerské soutěže Capture The Flag (CTF). Tento zaměstnanec Applu však chybu nenahlásil, která byla tehdy nulová – což znamená, že Google o chybě nevěděl a oprava ještě nebyla vydána. Místo toho chybu nahlásil někdo jiný, kdo se také soutěže zúčastnil. Ve skutečnosti chybu nenašel sám a ani nebyl v týmu, který chybu zachytil.
„Tento problém nahlásil sisu z týmu CTF HXP a objevil ho člen Apple Security Engineering and Architecture (SEAR) během HXP CTF 2022,“ napsal zaměstnanec společnosti Google.
Poté, co byl tento příběh poprvé zveřejněn, viděl TechCrunch kanál Discord, kde někdo, kdo tvrdil, že je zaměstnancem společnosti Apple, který původně našel Zero-Day, vysvětlil svou stranu příběhu, zejména proč nenahlásil chybu hned, v reakci na sisu, osobu, která chybu nahlásila Googlu.
„Trvalo mi dva týdny, než jsem na tom pracoval na plný úvazek, než jsem přišel na to proč,“ píše [the] Využívat [Proof of Concept] A zapište si problém, aby se dal vyřešit,“ napsal člověk, který šel vedle Galilea 6. července.
Bylo to nahlášeno 5. června mou společností. Ano, bylo pozdě a existuje pro to několik důvodů. Nejprve jsem musel najít zodpovědnou osobu, zprávu museli podepsat lidé a pak odpovědná osoba byla OOO. Je chvályhodné, že se to chrome rozhodl napravit co nejdříve, ale myslím, že to nebyla žádná skutečná naléhavost. Jen vy a můj tým byste si toho pravděpodobně uvědomovali (scénář na Androidu to nebyl příliš velký problém) viditelné, protože to na několik sekund zamrzne GUI Chrome), napsal Galileo.
Galileo a Cesso nereagovaly na žádost o vyjádření.
Apple na žádost o komentář nereagoval.
Mluvčí Google Ed Fernandez řekl TechCrunch v e-mailu, že „naše obecné chápání je špatné.“
„Doporučujeme kontaktovat Apple pro další podrobnosti,“ napsal Fernandez.
Podle Filippa Cremonese, výzkumníka zapojeného do soutěží CTF s italským týmem, není neobvyklé, že týmy CTF a hráči CTF najdou nulové dny během soutěží, zejména ve výzvách tohoto charakteru a „vysokoprofilových“ soutěžích. makarónycož by mimochodem mohlo být nejlepší jméno pirátského týmu vůbec.
Příběh této chyby je zajímavý tím, že ji zjevně objevil zaměstnanec Applu v produktu Google a z nějakého důvodu se zaměstnanec Applu rozhodl chybu nenahlásit.
v původní zprávě 26. března osoba, která nahlásila chybu, řekla, že chybu našel někdo z COPY týmu během CTF Pořádá tým HXP. Osoba, jejíž jméno nebylo ve zprávě zveřejněno, uvedla, že se rozhodla to nahlásit, i když to sami nenašli, protože si „nebyli 100% jisti, že to bylo nahlášeno týmu Chromium“.
„Takže jsem chtěl být v bezpečí,“ napsal dotyčný.
„Protože jste to vy, kdo tento problém odhaluje a neexistují žádné duplikáty, zdá se, že tým, který tento problém objevil, se rozhodl nám jej nesdělit?“ napsal zaměstnanec společnosti Google v dalším komentáři k hlášení o chybě.
Chyba byla opravena 29. března, podle zprávy o chybě. Google se rozhodl dát odměnu 10 000 USD osobě, která ji nahlásila, což opět nebyla osoba, která ji nalezla.
Aktualizace, 20. července, 14:30 ET: Tento příběh byl aktualizován, aby zahrnoval zprávy Discord odeslané osobou, která tvrdí, že původně objevila chybu.
„Přátelský průkopník popkultury. Hodně padá. Sociální média geek. Obecný fanatik do kávy. Televizní nadšenec. Potížista.“
