Google, Chrome tarayıcısındaki sıfır gün hatasını düzeltti, ancak bu hatayı ilk olarak, bu bilgileri şirketten uygun bir şekilde saklayan bir Apple çalışanı buldu. Bu Apple çalışanı, güvenlik açığını keşfettiğinde Mart ayında bir Capture The Flag veya CTF bilgisayar korsanlığı yarışmasına katılıyordu. Çalışanın değerli bilgileri dışarıda bırakması oldukça garip ve bunun pek çok nedeni olabilir.
Chrome’da bulunan sıfır gün hatası daha sonra yarışmaya katılan başka biri tarafından bildirildi ve Google’a yama yapma fırsatı verdi.
Bir Google çalışanı, Apple’dan katılımcının hatadan haberdar olduğunu ancak o kişinin şirketi güncellemediğini belirtiyor. Güvenlik açığı daha sonra rakipten başka birinin Google’a bilgi vermesiyle giderildi. Buna göre TechCrunchsıfır gün hatasının bir Apple çalışanı tarafından keşfedildiğine dair kanıt, resmi hata raporu altında.
“Bu sorun, CTF ekibi HXP’den sisu tarafından bildirildi ve HXP CTF 2022 sırasında bir Apple Güvenlik Mühendisliği ve Mimarisi (SEAR) üyesi tarafından keşfedildi.
Daha sonra TechCrunch, Gallileo adlı bir kişinin Google’dan gelen bilgileri saklayan Apple çalışanı olduğunu iddia ettiği bir Discord kanalı gördü. Reklam devini bilgilendirmeme gerekçesini açıkladı ve çok önemli verileri ilgili kuruma iletmekte geç kaldığını da itiraf etti.
“Nedeni köklendirmek için tam zamanlı olarak üzerinde çalışmam 2 haftamı aldı, yaz [the] başarı [Proof of Concept] ve sorunu düzeltilebilecek şekilde yazın. 5 Haziran’da şirketim aracılığıyla bildirildi. Evet gecikti, bunun birçok nedeni var. Önce sorumluyu bulmam gerekiyordu, raporun insanlar tarafından imzalanması gerekiyordu ve sonra sorumlu kişi OOO idi.
Chrome’un bunu bir an önce düzeltmeye karar vermesi takdire şayan, ancak bence gerçek bir aciliyet yoktu. Yalnızca siz ve ekibim bunun farkındaydı ve sorun muhtemelen gerçek dünya senaryosunda o kadar da büyük değil (Android’de çalışmıyor, Chrome GUI’sini birkaç saniyeliğine dondurduğu için oldukça görünür durumda).
Capture The Flag katılımcılarının yarışmalar sırasında sıfır gün güvenlik açıkları bulması alışılmadık bir durum olmasa da, bunun rakip bir firma için çalışan biri tarafından keşfedilmiş olması kesinlikle ilginç bir hikaye oluşturuyor. Gallileo’nun Google’a söylememe gerekçesi doğru olsun ya da olmasın, bu kararın yalnızca kişinin Apple’a bir tür sadakat hissettiği için verildiğini merak etmeden duramazsınız.
