グーグル「アップルのスタッフがゼロデーを見つけたが、報告しない」

1 min read

画像クレジット: S3studio/ゲッティイメージズ/ゲッティイメージズ

GoogleはAppleの従業員が見つけたChromeのゼロデーを修正しました。 公式バグレポートのコメントによると。 バグ自体はニュース価値がありませんが、このバグが見つかってGoogleに報告された状況は少なくとも奇妙です。

Googleのスタッフによると, このバグはもともと去る3月CTF(Capture The Flag)ハッキング大会に参加していたApple社員が発見しました。 しかし、Appleの従業員はバグを報告していません。 当時はゼロデーでした。 これは、Googleがバグを認識しておらず、まだパッチが発行されていないことを意味します。 その代わりに、大会に参加した他の人がバグを報告し、実際にバグを直接発見しなかったし、バグを発見したチームにもなかった。

Googleの従業員は、「この問題はCTFチームHXPのsisuによって報告され、HXP CTF 2022の間にApple Security Engineering and Architecture(SEAR)のメンバーによって発見されました」とGoogleの従業員が書いた。

このストーリーが初めて公開された後、TechCrunchは元々ゼロデーを発見したAppleの従業員だと主張した誰かがGoogleにバグを報告した人であるsisuに応答してストーリーの側面、特にバグをすぐに報告しなかった理由を説明するDiscordチャンネルを見ました。

「根本的な原因を見つけるためにフルタイムで作業するのに2週間かかりました。 [the] 悪用する [Proof of Concept] 修正できるように問題を書いてください。

「去る6月5日、所属事務所を通じて情報提供を受けました。 はい、遅くなりました。 いくつかの理由があります。 最初に責任者を見つけなければならず、報告書は人々の承認を受けなければならず、責任者はOOOでした。 chromeでできるだけ早く修正することを決めたのはほんとうに賞賛されますが、実際に緊急の状況はなかったようです。 あなたと私たちのチームだけがそれを知っていて、実際のシナリオでは問題はそれほど大きくはありません(Androidでは機能せず、数秒間Chrome GUIが停止するためかなり目立つ)」とGallileoは書いた。

GallileoとSisuの両方は、コメントのリクエストにすぐには応答しませんでした。

アップルはコメントの要求に答えなかった。

Google のスポークスマン Ed Fernandez 氏は TechCrunch に電子メールで「私たちの理解はバグに公開されている」と述べた。

Fernandezは、「詳細についてはAppleに連絡することをお勧めします」と書いています。

イタリアのチームと一緒にCTFコンテストに参加している研究者 Filippo Cremoneseによると、CTFチームとCTFプレーヤーがコンテスト中にゼロデーを見つけることは珍しいことではありません。 マケロニちなみに最高のハッカーチーム名かもしれません。

このバグの話を興味深くすることは、Appleの従業員がGoogleの製品で明らかに見つかり、何らかの理由でAppleの従業員がバグを報告しないことを決定したことです。

元のレポートから 3月26日に提出した人がCOPYチームでバグを発見したそうです。 CTF中 チーム主催 XHP。 申告書に名前が公開されていないこの関係者は「クロムチームに申告されたのか100%確信できない」と自ら見つけられなくても申告することにしたと話した。

「だから私は安全でしたかった」と彼は書いた。

「あなたがこの問題を公開して重複がないので、この問題を発見したチームが私たちに公開しないことにしたようですね?」 Google 社員はバグレポートに別のコメントを書いています。

バグレポートによると、バグは3月29日に修正されました。 Googleは、バグを発見した人ではなく、バグを報告した人にバグ賞金として10,000ドルを授与することにしました。

更新、7月20日午後2時30分(東部標準時):この物語は、元のバグを発見したと主張する人が投稿したDiscordメッセージを含むように更新されました。

READ  「世界最大の受賞風力発電団地」また一歩
Nakama Shizuka

"フリーランスの学生。微妙に魅力的な料理の達人。トータルベーコンの先駆者。旅行の第一人者。自慢のオーガナイザー。"

You May Also Like

More From Author

+ There are no comments

Add yours