Google, bir Apple çalışanı tarafından bulunan Chrome’da sıfır günü düzeltti. resmi hata raporundaki yorumlara göre. Hatanın kendisi haber değeri taşımasa da, bu hatanın bulunma ve Google’a bildirilme koşulları en hafif tabirle tuhaf.
Bir Google çalışanına göre, hata ilk olarak Mart ayında bir Capture The Flag (CTF) bilgisayar korsanlığı yarışmasına katılan bir Apple çalışanı tarafından bulundu. Ancak o Apple çalışanı, o sırada sıfır gün olan hatayı bildirmedi – bu, Google’ın hatadan haberdar olmadığı ve henüz bir yama yayınlanmadığı anlamına gelir. Bunun yerine hata, yarışmaya katılan başka biri tarafından bildirildi, hatayı aslında kendisi bulamamış ve hatta hatayı bulan ekipte bile yer almamıştı.
Google çalışanı, “Bu sorun CTF ekibi HXP’den sisu tarafından bildirildi ve Apple Security Engineering and Architecture (SEAR) üyesi tarafından HXP CTF 2022 sırasında keşfedildi” diye yazdı.
Apple çalışanının hatayı Mart ayında neden bildirmediği belli değil.
Apple, yorum talebine yanıt vermedi.
Google sözcüsü Ed Fernandez, TechCrunch’a bir e-postada “böcek konusundaki anlayışımızın kamuya açık olduğunu” söyledi.
“Biz [recommend] Daha fazla ayrıntı için Apple’a ulaşıyoruz,” diye yazdı Fernandez.
TechCrunch, üyesi hatayı orijinal olarak bulan COPY adlı CTF ekibiyle veya sisu adlı kişiyle iletişim kurmanın bir yolunu bulamadı.
İtalyan takımıyla CTF müsabakalarına katılan bir araştırmacı olan Filippo Cremonese’ye göre, CTF takımlarının ve CTF oyuncularının müsabakalar sırasında, özellikle de bu tür meydan okumalarda ve “yüksek profilli” müsabakalarda sıfır gün bulması alışılmadık bir durum değil. mhackeronitesadüfen şimdiye kadarki en iyi hacker ekibi adı olabilir.
Bu hatanın hikayesini ilginç kılan şey, görünüşe göre bir Apple çalışanı tarafından bir Google ürününde bulunması ve – bir nedenden ötürü – Apple çalışanının hatayı bildirmemeye karar vermesidir.
Orijinal raporda 26 Mart’ta, bunu bildiren kişi, hatanın COPY ekibinden biri tarafından bulunduğunu söyledi. bir CTF sırasında ekip tarafından düzenlenen XHP. Raporda adı açıklanmayan kişi, “krom ekibine bildirildiğinden %100 emin olmadıkları için” kendileri bulamasalar bile bildirmeye karar verdiklerini söyledi.
Kişi, “Bu yüzden güvende olmak istedim” diye yazdı.
“Bu sorunu ifşa eden siz olduğunuza ve yinelenen bir durum olmadığına göre, bu sorunu keşfeden ekip sorunu bize açıklamamayı seçmiş gibi görünüyor?” Google çalışanı, hata raporuna başka bir yorum yazdı.
Hata raporuna göre hata 29 Mart’ta düzeltildi. Google, bunu bildiren kişiye hata ödülü olarak 10.000 ABD doları vermeye karar verdi, ki bu kişi yine onu bulan kişi değildi.