谷歌在 Chrome 中发现了零日漏洞,该漏洞是由苹果员工发现的, 根据官方bug报告中的评论。 虽然这个错误本身没有新闻价值,但这个错误是如何被发现并向谷歌报告的,至少可以说是很奇怪的。
据谷歌员工称该漏洞最初是由一名苹果员工在 3 月份参加夺旗(CTF)黑客大赛时发现的。 但这位苹果员工没有报告该错误,当时该错误为零——这意味着谷歌不知道该错误,并且尚未发布补丁。 相反,该错误是由另一个参加比赛的人报告的,他本人并没有发现该错误,甚至不在发现该错误的团队中。
这位谷歌员工写道:“这个问题是由 CTF HXP 团队的 sisu 报告的,并由苹果安全工程和架构 (SEAR) 的一名成员在 HXP CTF 2022 期间发现。”
在这篇报道首次发表后,TechCrunch 看到了一个 Discord 频道,其中有人自称是最初发现零日漏洞的苹果员工,他解释了自己的观点,特别是为什么没有立即报告该 bug,这是对向 Google 报告该 bug 的人 Sisu 的回应。
“我花了两周时间全职研究这个问题,直到我弄清楚原因,”他写道 [the] 开发 [Proof of Concept] 把问题写下来,这样就可以解决它。”7月6日,紧随伽利略身边的人写道。
我公司是6月5号报道的,是的,晚了,原因有很多。首先我得找到负责人,报告要人签字,然后负责人OOO。值得称赞的是chrome决定尽快修复它,但我认为没有真正的紧迫性。只有你和我的团队知道这一点,而且在现实场景中问题可能不会太大(它在Android上不起作用,因为它冻结所以非常明显) Chrome 的 GUI 持续了几秒钟),伽利略写道。
伽利略和塞索没有回应置评请求。
苹果没有回应置评请求。
谷歌发言人埃德·费尔南德斯(Ed Fernandez)在一封电子邮件中告诉 TechCrunch,“我们的公众理解是错误的。”
“我们建议联系苹果了解更多详细信息,”费尔南德斯写道。
与意大利团队一起参与 CTF 比赛的研究员 Filippo Cremonese 表示,CTF 团队和 CTF 选手在比赛中发现零日漏洞的情况并不罕见,尤其是在这种性质的挑战和“高调”比赛中。 通心粉,顺便说一句,这可能是有史以来最好的海盗队名称。
这个 bug 的故事之所以有趣,是因为它显然是由一名 Apple 员工在 Google 产品中发现的,但出于某种原因,该 Apple 员工决定不报告该 bug。
在原始报告中 3月26日,报告该bug的人表示该bug是COPY团队的人发现的 在CTF期间 由团队组织 羟基磷灰石。 报告中未透露姓名的人士表示,即使他们自己没有发现,他们也决定报告该事件,因为“他们不能 100% 确定已向 Chromium 团队报告了该事件。”
“所以我想要安全,”该人士写道。
“既然这个问题是你披露的,而且没有重复,那么发现这个问题的团队似乎选择不向我们披露?” 一位谷歌员工在该错误报告的另一条评论中写道。
根据错误报告,该错误于 3 月 29 日得到修复。 Google 决定向举报该漏洞的人提供 10,000 美元的漏洞赏金,但该漏洞并不是发现该漏洞的人。
更新,美国东部时间 7 月 20 日下午 2:30:此报道已更新,包含声称最初发现该 bug 的人发布的 Discord 消息。
More Stories
Android 15/One UI 7 正在针对 Galaxy A53、A54 等进行测试
《Helldivers 2》的重大更新招致了负面评价,而且玩家数量并未增加一倍
据报道,谷歌 Pixel 9 将获得一些新的 Gemini AI 功能