Afbeeldingscredits: S3studio/Getty Images/Getty Images
Google identificeerde nul dagen in Chrome die werden gevonden door een Apple-medewerker, Volgens de opmerkingen in het officiële bugrapport. Hoewel de bug zelf geen nieuwswaarde heeft, zijn de omstandigheden waarin deze bug werd gevonden en gerapporteerd aan Google op zijn zachtst gezegd bizar.
Dat meldt een Google-medewerkerDe bug werd oorspronkelijk gevonden door een Apple-medewerker die in maart deelnam aan de hackwedstrijd Capture The Flag (CTF). Maar deze Apple-medewerker rapporteerde de bug niet, die was toen nul – wat betekent dat Google niet op de hoogte was van de bug en dat er nog geen patch is uitgebracht. In plaats daarvan werd de bug gemeld door iemand anders die ook meedeed aan de wedstrijd.Hij vond de bug niet zelf en zat niet eens in het team dat de bug ontdekte.
“Dit probleem werd gemeld door sisu van het CTF HXP-team en werd ontdekt door een lid van Apple Security Engineering and Architecture (SEAR) tijdens HXP CTF 2022”, schreef de Googler.
Het is onduidelijk waarom een Apple-medewerker de fout in maart niet meldde.
Apple reageerde niet op een verzoek om commentaar.
Google-woordvoerder Ed Fernandez vertelde TechCrunch in een e-mail dat “ons algemene begrip verkeerd is”.
“Wij [recommend] Neem contact op met Apple voor meer informatie”, schreef Fernandez.
TechCrunch kon geen manier vinden om contact op te nemen met het CTF-team – genaamd COPY – waarvan de leden de fout oorspronkelijk hadden gevonden, noch met de persoon genaamd sisu.
Volgens Filippo Cremonese, een onderzoeker die betrokken is bij CTF-competities met het Italiaanse team, is het niet ongebruikelijk dat CTF-teams en CTF-spelers nul dagen vinden tijdens competities, vooral bij dit soort uitdagingen en ‘high profile’-competities. macaroniwat trouwens misschien wel de beste piratenteamnaam ooit is.
Wat het verhaal van deze bug interessant maakt, is dat deze blijkbaar door een Apple-medewerker in een Google-product is ontdekt en om de een of andere reden heeft de Apple-medewerker besloten de bug niet te melden.
in het oorspronkelijke rapport Op 26 maart zei de persoon die de bug rapporteerde dat de bug was gevonden door iemand van het COPY-team tijdens CTF Georganiseerd door het team xp. De persoon, wiens naam niet in het rapport werd vermeld, zei dat ze besloten hadden om het te melden, zelfs als ze het zelf niet konden vinden, omdat “ze er niet 100% zeker van waren dat het aan het Chromium-team was gemeld.”
“Dus ik wilde veilig zijn”, schreef de persoon.
“Aangezien u degene bent die dit probleem openbaar maakt en er geen duplicaten zijn, lijkt het erop dat het team dat dit probleem heeft gedetecteerd ervoor heeft gekozen het niet aan ons bekend te maken?” schreef een Google-medewerker in een ander commentaar op het bugrapport.
Volgens het bugrapport is de bug op 29 maart verholpen. Google besloot een bounty van $ 10.000 te geven aan de persoon die de fout had gemeld, wat wederom niet de persoon was die de bug had gevonden.
“Proud coffee guru. Web pioneer. Internet expert. Social media specialist.”