Молчание - лучший друг уязвимости: Сотрудник Apple обнаруживает уязвимость в Chrome и не сообщает о ней

Молчание - лучший друг уязвимости: Сотрудник Apple обнаруживает уязвимость в Chrome и не сообщает о ней

Почему Google узнал о проблеме от постороннего?"

image
Ошибка была обнаружена в марте 2023 года командой Apple Security Engineering and Architecture (SEAR). Но Google не был сразу же оповещен о данной ошибке. Вместо этого об ошибке сообщил другой участник CTF, который даже не был в команде, которая её обнаружила.

6 июля пользователь с ником Gallileo, представившийся сотрудником Apple, опубликовал свою версию этой истории на канале Discord. Он сказал, что ему потребовалось две недели, чтобы найти основную причину ошибки, написать эксплойт и описать проблему так, чтобы её можно было исправить. Он также сказал, что ошибка была сообщена Google 5 июня.

Филиппо Кремонезе, исследователь, который участвует в соревнованиях CTF с итальянской командой mhackeroni, сказал, что такие эпизоды не редки. Он отметил, что интересно, что сообщивший об ошибке и сотрудник Google обменивались сообщениями. В первом отчёте от 26 марта указано, что ошибка была обнаружена кем-то из команды COPY, организованной командой HXP. Автор объясняет, что решил отправить отчёт, так как «не был на 100% уверен, что об этом сообщили команде Chrome». «Поскольку вы раскрываете эту проблему, но похожих сообщений нет. Вероятно, команда, обнаружившая её, решила не раскрывать её нам?» — спрашивает в ответ сотрудник Google.

Ошибка была исправлена 29 марта. Google направила $10 000 в качестве вознаграждения sisu, который сообщил об ошибке.


Большой брат следит за вами, но мы знаем, как остановить его. Подпишитесь на наш канал!