Google dice que un empleado de Apple encontró el Día Cero pero no lo reportó

Google identificó cero días en Chrome que fue encontrado por un empleado de Apple, De acuerdo con los comentarios en el informe de error oficial. Si bien el error en sí no es de interés periodístico, las circunstancias de cómo se encontró este error y se informó a Google son, por decir lo menos, extrañas.

Según un empleado de GoogleEl error fue encontrado originalmente por un empleado de Apple que participaba en el concurso de piratería Capture The Flag (CTF) en marzo. Pero este empleado de Apple no informó el error, que entonces era cero, lo que significa que Google no estaba al tanto del error y aún no se ha lanzado un parche. En cambio, el error fue informado por otra persona que también participó en la competencia, que no encontró el error por sí mismo y ni siquiera estaba en el equipo que descubrió el error.

«Este problema fue informado por sisu del equipo CTF HXP y fue descubierto por un miembro de Apple Security Engineering and Architecture (SEAR) durante HXP CTF 2022», escribió Googler.

Después de que se publicó esta historia por primera vez, TechCrunch vio un canal de Discord en el que alguien que afirmaba ser el empleado de Apple que originalmente encontró Zero-Day explicó su versión de la historia, en particular por qué no se informó el error de inmediato, en respuesta a Sisu, la persona que informó el error a Google.

«Me tomó dos semanas trabajar en ello a tiempo completo hasta que llegué al fondo del por qué», escribe. [the] Explotar [Proof of Concept] Y anota el problema para que se pueda solucionar”, escribió la persona que fue junto a Galileo el 6 de julio.

READ  La gran venta posterior a Navidad de LG obtiene un 25% de descuento en televisores OLED

Mi empresa lo informó el 5 de junio. Sí, era tarde y hay varias razones para ello. Primero tenía que encontrar a la persona a cargo, el informe tenía que ser firmado por personas y luego la persona a cargo era OOO. Es encomiable que Chrome decidiera solucionarlo lo antes posible, pero creo que no había una urgencia real. muy visible porque congela la GUI de Chrome durante unos segundos), escribió Galileo.

Galileo y Cesso no respondieron a una solicitud de comentarios.

Apple no respondió a una solicitud de comentarios.

El portavoz de Google, Ed Fernandez, le dijo a TechCrunch en un correo electrónico que «nuestra comprensión pública tiene la culpa».

«Recomendamos contactar a Apple para obtener más detalles», escribió Fernández.

No es raro que los equipos de la CTF y los jugadores de la CTF encuentren días cero durante las competencias, especialmente en desafíos de esta naturaleza y competencias de «alto perfil», según Filippo Cremonese, investigador involucrado en competencias de la CTF con el equipo italiano. macarronesque por cierto podría ser el mejor nombre de equipo pirata de todos los tiempos.

Lo que hace que la historia de este error sea interesante es que aparentemente fue descubierto por un empleado de Apple en un producto de Google y, por alguna razón, el empleado de Apple decidió no informar el error.

en el informe original El 26 de marzo, la persona que informó el error dijo que alguien del equipo COPY encontró el error. durante CTF Organizado por el equipo HXP. La persona, cuyo nombre no se reveló en el informe, dijo que decidió denunciarlo incluso si no lo encontró por sí mismo porque «no estaba 100% seguro de que se informara al equipo de Chromium».

READ  Probar el nuevo esquema de color de Google Maps es muy similar al de Apple Maps - Ars Technica

«Así que quería estar a salvo», escribió la persona.

«Dado que usted es quien revela este problema y no hay duplicados, ¿parece que el equipo que descubrió este problema decidió no revelarnos?» escribió un empleado de Google en otro comentario sobre el informe de error.

El error se solucionó el 29 de marzo, según el informe de errores. Google decidió dar una recompensa de $ 10,000 por error a la persona que lo informó, que, nuevamente, no fue la persona que lo encontró.

Actualización, 20 de julio, 2:30 p. m. ET: esta historia se actualizó para incluir mensajes de Discord publicados por la persona que afirma haber descubierto originalmente el error.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *