Sıfır gün güvenlik açığı, geliştirici veya satıcı firma tarafından uyarılmadan önce bilinmeyen bir yazılım hatasıdır; bu, düzeltmek için “sıfır günleri” olduğu anlamına gelir. Normalde, sıfırıncı gün güvenlik açığı bulan bir şirket, rakip bir ekip için çalışıyor olsalar bile bunu geliştiriciye veya satıcıya söylerdi. Neden? Kötü niyetli bir bilgisayar korsanını durdurmaya yardımcı olduğu için, endüstrinin temizlenmesine yardımcı olur ve şirket böyle bir durumun ne zaman diğer tarafında olabileceğini asla bilemez.

Geçen gün başına 9to5Mac, bir Apple çalışanı Google Chrome’da sıfırıncı gün güvenlik açığı keşfetti, ancak bunu hemen Google’a bildirmedi. Google, sıfır gün güvenlik açığını gidermek için Chrome Tarayıcı güncellemesini tartışırken, hatanın Mart ayında “Capture The Flag” (CTF) adlı bir bilgisayar korsanlığı yarışması sırasında keşfedildiğine dikkat çekti. Ve şimdi Google, sorunu işaret ettiği için Apple’a teşekkür edemese de kusuru düzeltti.
Peki Google, Chrome Tarayıcısının başında asılı olan Zero-day güvenlik açığını nasıl öğrendi? Bir Google çalışanı bir blogda yazdı (aracılığıyla TechCrunch) CTF yarışmasındaki başka bir katılımcının hatayı 26 Mart’ta bildirdiğini. Yazdığı şey şuydu: “Bu sorun CTF ekibi HXP’den sisu tarafından bildirildi ve HXP CTF 2022 sırasında bir Apple Security Engineering and Architecture (SEAR) üyesi tarafından keşfedildi.”
TechCrunch sonunda, güvenlik açığını bulan Apple çalışanı olduğunu iddia eden birinin bunu neden Google’a bildirmediğini açıkladığı bir Discord kanalı buldu. Gallileo adıyla anılan kişi 6 Temmuz’da şöyle yazdı: “Nedeni köklendirmek için tam zamanlı olarak üzerinde çalışmam 2 haftamı aldı. [the] faydalanmak [Proof of Concept] ve sorunu düzeltilebilecek şekilde yazın.”

Hatanın “…5 Haziran’da şirketim aracılığıyla bildirildiğini söyledi. Evet gecikti, bunun birden çok nedeni var. Önce sorumlu kişiyi bulmam gerekiyordu, raporun insanlar tarafından imzalanması gerekiyordu ve ardından sorumlu kişi OOO (ofis dışında) idi. Chrome’un sorunu bir an önce düzeltmeye karar vermesi övgüye değer, ancak bence gerçek bir aciliyet yoktu. Yalnızca siz ve ekibim bunun farkındaydı ve sorun muhtemelen gerçek dünya senaryosunda o kadar da büyük değil (değil) Android’de çalışmıyor, Chrome GUI’yi birkaç saniyeliğine dondurduğu için oldukça görünür.”

Orijinal rapor, belirtildiği gibi, 26 Mart tarihliydi ve Google, dikkatlerini çeken kişiyi 10.000 dolarlık bir “hata ödülü” ile ödüllendirmeye karar verdi. Böcek yok edici olmanın işe yaramadığını kim söylüyor? Ayrıca, “Bayrağı Yakala” hacker yarışmaları sırasında kusurların keşfedilmesi alışılmadık bir durum değildir.



telefon-1