Créditos de la imagen: S3studio/imágenes falsas/imágenes falsas
Google identificó cero días en Chrome que fue encontrado por un empleado de Apple, De acuerdo con los comentarios en el informe de error oficial. Si bien el error en sí no es de interés periodístico, las circunstancias de cómo se encontró este error y se informó a Google son, por decir lo menos, extrañas.
Según un empleado de GoogleEl error fue encontrado originalmente por un empleado de Apple que participaba en el concurso de piratería Capture The Flag (CTF) en marzo. Pero este empleado de Apple no informó el error, que entonces era cero, lo que significa que Google no estaba al tanto del error y aún no se ha lanzado un parche. En cambio, el error fue informado por otra persona que también participó en la competencia. En realidad, él mismo no encontró el error y ni siquiera estaba en el equipo que lo detectó.
«Este problema fue informado por sisu del equipo CTF HXP y fue descubierto por un miembro de Apple Security Engineering and Architecture (SEAR) durante HXP CTF 2022», escribió Googler.
Después de que se publicó esta historia por primera vez, TechCrunch vio un canal de Discord en el que alguien que afirmaba ser el empleado de Apple que originalmente encontró Zero-Day explicó su versión de la historia, en particular por qué no informaron el error de inmediato, en respuesta a sisu, la persona que informó el error a Google.
«Me tomó dos semanas trabajar en ello a tiempo completo hasta que llegué al fondo del por qué», escribe. [the] Explotar [Proof of Concept] Y anota el problema para que se pueda solucionar”, escribió la persona que fue junto a Galileo el 6 de julio.
Mi empresa lo informó el 5 de junio. Sí, era tarde y hay varias razones para ello. Primero tenía que encontrar a la persona a cargo, el informe tenía que ser firmado por personas y luego la persona a cargo era OOO. Es encomiable que Chrome decidiera solucionarlo lo antes posible, pero creo que no había una urgencia real. muy visible porque congela la GUI de Chrome durante unos segundos), escribió Galileo.
Galileo y Sesso no respondieron de inmediato a una solicitud de comentarios.
Apple no respondió a una solicitud de comentarios.
El portavoz de Google, Ed Fernandez, le dijo a TechCrunch en un correo electrónico que «nuestro entendimiento general es incorrecto».
«Recomendamos contactar a Apple para obtener más detalles», escribió Fernández.
No es raro que los equipos de la CTF y los jugadores de la CTF encuentren días cero durante las competencias, especialmente en desafíos de esta naturaleza y competencias de «alto perfil», según Filippo Cremonese, investigador involucrado en competencias de la CTF con el equipo italiano. macarronesque por cierto podría ser el mejor nombre de equipo pirata de todos los tiempos.
Lo que hace que la historia de este error sea interesante es que aparentemente fue descubierto por un empleado de Apple en un producto de Google y, por alguna razón, el empleado de Apple decidió no informar el error.
en el informe original El 26 de marzo, la persona que informó el error dijo que alguien del equipo COPY encontró el error. durante CTF Organizado por el equipo xhp. La persona, cuyo nombre no se reveló en el informe, dijo que decidió denunciarlo incluso si no lo encontró por sí mismo porque «no estaba 100% seguro de que se informara al equipo de Chromium».
«Así que quería estar a salvo», escribió la persona.
«Dado que usted es quien revela este problema y no hay duplicados, ¿parece que el equipo que descubrió este problema decidió no revelarnos?» escribió un empleado de Google en otro comentario sobre el informe de error.
El error se solucionó el 29 de marzo, según el informe de errores. Google decidió dar una recompensa de $ 10,000 por error a la persona que lo informó, que, nuevamente, no fue la persona que lo encontró.
Actualización, 20 de julio, 2:30 p. m. ET: esta historia se actualizó para incluir mensajes de Discord publicados por la persona que afirma haber descubierto originalmente el error.
«Fan web incurable. Entusiasta de la comida típica. Experto en twitter galardonado. Tvaholic».
