„Google“ teigia, kad „Apple“ darbuotojas rado „Day Zero“, bet apie tai nepranešė

„Google“ naršyklėje „Chrome“ nustatė nulį dienų, kurias rado „Apple“ darbuotojas, Pagal komentarus oficialioje klaidų ataskaitoje. Nors pati klaida nėra verta naujienų, aplinkybės, kaip ši klaida buvo rasta ir pranešta „Google“, yra mažų mažiausiai keistos.

Pasak „Google“ darbuotojoIš pradžių šią klaidą rado „Apple“ darbuotojas, kovo mėnesį dalyvavęs „Capture The Flag“ (CTF) įsilaužimo konkurse. Tačiau šis „Apple“ darbuotojas nepranešė apie klaidą, kuri tada buvo nulinė – tai reiškia, kad „Google“ apie klaidą nežinojo, o pataisa dar nebuvo išleista. Vietoj to, apie klaidą pranešė kažkas kitas, kuris taip pat dalyvavo konkurse, kuris iš tikrųjų pats nerado klaidos ir net nebuvo klaidą aptikusioje komandoje.

„Šią problemą pranešė sisu iš CTF HXP komandos ir ją atrado Apple Security Engineering and Architecture (SEAR) narys per HXP CTF 2022“, – rašė „Google“ darbuotojas.

Po to, kai ši istorija pirmą kartą buvo paskelbta, „TechCrunch“ pamatė „Discord“ kanalą, kuriame kažkas, teigiantis, kad yra „Apple“ darbuotojas, kuris iš pradžių rado „Zero-Day“, paaiškino savo istorijos pusę, ypač kodėl apie klaidą nebuvo pranešta iš karto, atsakydamas Sisu, asmeniui, pranešusiam apie klaidą „Google“.

„Man prireikė dviejų savaičių visą darbo dieną, kol išsiaiškinau, kodėl“, – rašo jis [the] Išnaudoti [Proof of Concept] Ir užrašykite problemą, kad ją būtų galima išspręsti“, – rašė liepos 6 dieną šalia „Galileo“ nuėjęs žmogus.

Apie tai birželio 5 d. pranešė mano įmonė. Taip, vėlavo, ir tam yra daug priežasčių. Pirmiausia turėjau rasti atsakingą asmenį, ataskaitą turėjo pasirašyti žmonės, o tada atsakingas asmuo buvo OOO. Pagirtina, kad chromas nusprendė kuo greičiau tai sutvarkyti, bet manau, kad nebuvo jokios skubos. Tik jūs ir mano komanda apie tai žinojote. „Android“ neveikia, jis labai matomas, nes kelioms sekundėms sustabdo „Chrome“ GUI“, – rašė „Galileo“.

READ  Marissa atrodo laukinė savo naujame žaidime, atskleistame „Street Fighter 6“.

Galileo ir Cesso neatsakė į prašymą pakomentuoti.

„Apple“ neatsakė į prašymą pakomentuoti.

„Google“ atstovas Edas Fernandezas elektroniniame laiške „TechCrunch“ sakė, kad „kaltas mūsų visuomenės supratimas“.

„Rekomenduojame susisiekti su Apple, kad gautumėte daugiau informacijos“, – rašė Fernandezas.

Neretai CTF komandos ir CTF žaidėjai varžybų metu randa nulį dienų, ypač tokio pobūdžio iššūkiuose ir „aukšto lygio“ varžybose, teigia Filippo Cremonese, CTF varžybose dalyvaujantis tyrėjas su Italijos komanda. makaronaikuris, beje, gali būti geriausias visų laikų piratų komandos pavadinimas.

Šios klaidos istorija įdomi yra ta, kad ją, matyt, aptiko Apple darbuotojas Google produkte ir kažkodėl Apple darbuotojas nusprendė apie klaidą nepranešti.

pirminėje ataskaitoje Kovo 26 d. asmuo, kuris pranešė apie klaidą, pasakė, kad klaidą rado kažkas iš COPY komandos CTF metu Organizuoja komanda HXP. Asmuo, kurio vardas ataskaitoje nebuvo atskleistas, teigė, kad nusprendė apie tai pranešti, net jei patys to nerado, nes „nebuvo 100% tikri, kad apie tai buvo pranešta Chromium komandai“.

„Taigi norėjau būti saugus“, – rašė asmuo.

„Kadangi jūs atskleidžiate šią problemą ir nėra pasikartojančių, atrodo, kad šią problemą atradusi komanda nusprendė jos mums neatskleisti? „Google“ darbuotojas parašė kitame komentare apie klaidų ataskaitą.

Remiantis klaidos ataskaita, klaida buvo ištaisyta kovo 29 d. „Google“ nusprendė suteikti 10 000 USD premiją apie klaidą pranešusiam asmeniui, kuris vėlgi buvo ne tas, kuris ją rado.

Atnaujinimas, liepos 20 d., 14:30 ET: ši istorija buvo atnaujinta, kad būtų įtraukti Discord pranešimai, kuriuos paskelbė asmuo, kuris teigia iš pradžių atradęs klaidą.

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *