Google, bir Apple çalışanı tarafından bulunan Chrome’da sıfır gün tespit etti. Resmi hata raporundaki yorumlara göre. Hatanın kendisi haber değeri taşımasa da, bu hatanın bulunma ve Google’a bildirilme koşulları en hafif tabirle tuhaf.
Bir Google çalışanına göreHata ilk olarak Mart ayında Capture The Flag (CTF) bilgisayar korsanlığı yarışmasına katılan bir Apple çalışanı tarafından bulundu. Ancak bu Apple çalışanı, o sırada sıfır olan hatayı bildirmedi – bu, Google’ın hatadan haberi olmadığı ve henüz bir yama yayınlanmadığı anlamına gelir. Bunun yerine, hata, yarışmaya katılan, aslında hatayı kendisi bulmayan ve hatta hatayı keşfeden ekipte yer almayan başka biri tarafından bildirildi.
Google çalışanı, “Bu sorun CTF HXP ekibinden sisu tarafından bildirildi ve Apple Security Engineering and Architecture (SEAR) üyesi tarafından HXP CTF 2022 sırasında keşfedildi” diye yazdı.
Bu hikaye ilk kez yayınlandıktan sonra TechCrunch, Zero-Day’i orijinal olarak bulan Apple çalışanı olduğunu iddia eden birinin, hatayı Google’a bildiren Sisu’ya yanıt olarak hikayenin kendi tarafını, özellikle de hatanın neden hemen bildirilmediğini açıkladığı bir Discord kanalı gördü.
“Nedeninin temeline inene kadar üzerinde tam zamanlı çalışmam iki haftamı aldı” diye yazıyor. [the] Faydalanmak [Proof of Concept] 6 Temmuz’da Galileo’nun yanına giden kişi, çözülebilmesi için sorunu bir yere not edin” diye yazmıştı.
5 Haziran’da şirketim tarafından bildirildi. Evet, gecikti ve bunun birden fazla nedeni var. Önce yetkili kişiyi bulmam gerekiyordu, raporun insanlar tarafından imzalanması gerekiyordu ve ardından sorumlu kişi BOO oldu. Chrome’un bunu en kısa sürede düzeltmeye karar vermesi övgüye değer, ancak bence aciliyet yoktu. Yalnızca siz ve ekibim bunun farkındaydı ve gerçek dünya senaryosunda sorun muhtemelen fazla olmayacaktı (Android’de çalışmaz, çok görünür çünkü Galileo, Chrome’un GUI’sini birkaç saniye dondurur), yazdı.
Galileo ve Cesso yorum talebine yanıt vermedi.
Apple, yorum talebine yanıt vermedi.
Google sözcüsü Ed Fernandez, TechCrunch’a bir e-postada “kamuoyunun anlayışının hatalı olduğunu” söyledi.
Fernandez, “Daha fazla ayrıntı için Apple ile iletişime geçmenizi öneririz” diye yazdı.
İtalyan takımıyla CTF müsabakalarında yer alan bir araştırmacı olan Filippo Cremonese’ye göre, CTF takımlarının ve CTF oyuncularının müsabakalar sırasında, özellikle de bu tür zorluklarda ve “yüksek profilli” müsabakalarda sıfır gün bulması alışılmadık bir durum değil. makarnaBu arada bu gelmiş geçmiş en iyi korsan takımı ismi olabilir.
Bu bug’ın hikayesini ilginç kılan şey ise görünüşe göre bir Apple çalışanı tarafından bir Google ürününde keşfedilmiş ve Apple çalışanı nedense bu bug’ı bildirmemeye karar vermiş.
orijinal raporda 26 Mart’ta hatayı bildiren kişi, hatanın COPY ekibinden biri tarafından bulunduğunu söyledi. CTF sırasında Ekip tarafından düzenlenen HXP. Raporda adı açıklanmayan kişi, “Chromium ekibine bildirildiğinden %100 emin olmadıkları için” kendileri bulmasalar bile bildirmeye karar verdiklerini söyledi.
Kişi, “Bu yüzden güvende olmak istedim” diye yazdı.
“Bu sorunu ifşa eden siz olduğunuza ve yinelenen bir durum olmadığına göre, bu sorunu keşfeden ekip bunu bize açıklamamayı seçmiş gibi görünüyor?” hata raporuyla ilgili başka bir yorumda bir Google çalışanı yazdı.
Hata raporuna göre hata 29 Mart’ta düzeltildi. Google, bunu bildiren kişiye 10.000 $’lık bir hata ödülü vermeye karar verdi, ki bu yine onu bulan kişi değildi.
Güncelleme, 20 Temmuz, 14:30 ET: Bu hikaye, hatayı ilk olarak keşfettiğini iddia eden kişi tarafından gönderilen Discord mesajlarını içerecek şekilde güncellendi.
. “Çıldırtıcı derecede alçakgönüllü bira ustası. Gururlu domuz pastırması evangelisti. Tam bir twitter bilgini. Problem çözücü. Dost düşünür.”
More Stories
Pro'nun daha büyük ekran boyutları da dahil olmak üzere dört iPhone 16 modelinin tamamı yeni bir sızıntıda fotoğraflandı
Apple'ın iPhone 16 Pro'nun tasarımı yeni bir sızıntıyla ortaya çıktı
iPhone, iPad ve Mac kullanıcılarının cihazları aniden kilitleniyor ve cihazların sıfırlanması gerekiyor