Google dit qu’un employé d’Apple a trouvé Day Zero mais ne l’a pas signalé

Crédits image : S3studio/Getty Images/Getty Images

Google a identifié zéro jour dans Chrome qui a été trouvé par un employé d’Apple, Selon les commentaires du rapport de bogue officiel. Bien que le bogue lui-même ne soit pas digne d’intérêt, les circonstances dans lesquelles ce bogue a été trouvé et signalé à Google sont, pour le moins, bizarres.

Selon un employé de GoogleLe bogue a été découvert à l’origine par un employé d’Apple qui participait au concours de piratage Capture The Flag (CTF) en mars. Mais cet employé d’Apple n’a pas signalé le bogue, qui était alors nul – ce qui signifie que Google n’était pas au courant du bogue et qu’un correctif n’a pas encore été publié. Au lieu de cela, le bogue a été signalé par une autre personne qui a également participé au concours, qui n’a pas trouvé le bogue lui-même et ne faisait même pas partie de l’équipe qui a découvert le bogue.

« Ce problème a été signalé par sisu de l’équipe CTF HXP et a été découvert par un membre d’Apple Security Engineering and Architecture (SEAR) lors de HXP CTF 2022 », a écrit Googler.

Après la première publication de cette histoire, TechCrunch a vu une chaîne Discord où quelqu’un prétendant être l’employé d’Apple qui a initialement trouvé Zero-Day a expliqué sa version de l’histoire, en particulier pourquoi le bogue n’a pas été signalé tout de suite, en réponse à Sisu, la personne qui a signalé le bogue à Google.

« Il m’a fallu deux semaines pour y travailler à plein temps jusqu’à ce que je comprenne pourquoi », écrit-il. [the] Exploiter [Proof of Concept] Et écrivez le problème pour qu’il puisse être résolu », a écrit celui qui s’est rendu à côté de Galileo le 6 juillet.

Il a été signalé le 5 juin par mon entreprise. Oui, il était tard, et il y a plusieurs raisons à cela. J’ai d’abord dû trouver la personne responsable, le rapport devait être signé par des personnes, puis la personne responsable était OOO. Il est louable que Chrome ait décidé de le réparer dès que possible, mais je pense qu’il n’y avait pas vraiment d’urgence. Seuls vous et mon équipe en étiez conscients, et le problème ne serait probablement pas grand-chose dans un scénario réel (cela ne fonctionne pas sur Android, c’est très visible car il gèle l’interface graphique de Chrome pendant quelques secondes), a écrit Galileo.

Galileo et Cesso n’ont pas répondu à une demande de commentaire.

Apple n’a pas répondu à une demande de commentaire.

Le porte-parole de Google, Ed Fernandez, a déclaré à TechCrunch dans un e-mail que « notre compréhension générale est erronée ».

« Nous vous recommandons de contacter Apple pour plus de détails », a écrit Fernandez.

Il n’est pas rare que les équipes et les joueurs de la CTF trouvent des jours zéro lors des compétitions, en particulier dans les défis de cette nature et les compétitions « de haut niveau », selon Filippo Cremonese, un chercheur impliqué dans les compétitions de la CTF avec l’équipe italienne. macaroniqui soit dit en passant pourrait être le meilleur nom d’équipe de pirates de tous les temps.

Ce qui rend l’histoire de ce bogue intéressante, c’est qu’il a apparemment été découvert par un employé d’Apple dans un produit Google, et pour une raison quelconque, l’employé d’Apple a décidé de ne pas signaler le bogue.

dans le rapport d’origine Le 26 mars, la personne qui a signalé le bogue a déclaré que le bogue avait été trouvé par quelqu’un de l’équipe COPY pendant le FCT Organisé par l’équipe HXP. La personne, dont le nom n’a pas été divulgué dans le rapport, a déclaré qu’elle avait décidé de le signaler même si elle ne l’avait pas trouvé elle-même car « elle n’était pas sûre à 100% que cela avait été signalé à l’équipe Chromium ».

« Alors je voulais être en sécurité », a écrit la personne.

« Étant donné que c’est vous qui divulguez ce problème et qu’il n’y a pas de doublons, il semble que l’équipe qui a découvert ce problème a choisi de ne pas nous le divulguer ? » a écrit un employé de Google dans un autre commentaire sur le rapport de bogue.

Le bogue a été corrigé le 29 mars, selon le rapport de bogue. Google a décidé de donner une prime de bogue de 10 000 $ à la personne qui l’a signalé, qui, encore une fois, n’était pas la personne qui l’a trouvée.

Mise à jour, 20 juillet, 14 h 30 HE : cette histoire a été mise à jour pour inclure les messages Discord publiés par la personne qui prétend avoir découvert le bogue à l’origine.