Google称一名苹果员工发现Chrome零日漏洞 但未报告

摘要:

根据官方错误报告中的评论,Google修复了一个由苹果员工发现的 Chrome 浏览器零日漏洞。虽然这个漏洞本身并不具有新闻价值,但这个漏洞是如何被发现并报告给Google的,至少可以说是有些奇特的。

图片.png

据一名Google员工称,该漏洞最初是由一名苹果员工发现的,当时他正在参加 3 月份的夺旗(CTF)黑客竞赛。但这名苹果员工并没有报告这个漏洞,当时这个漏洞还是零日漏洞--这意味着Google并不知道这个漏洞,也没有发布补丁。报告这个漏洞的是另一个人,他也参加了比赛,但实际上他自己并没有发现这个漏洞,甚至不在发现漏洞的团队中。

这名Google员工写道:"这个问题是由 CTF 团队 HXP 的 sisu 报告的,苹果安全工程与架构(SEAR)的一名成员在 HXP CTF 2022 期间发现了这个问题。"

目前还不清楚这名苹果员工为什么没有在 3 月份报告这个漏洞。苹果和Google没有回应置评请求,媒体无法联系到 CTF 团队(名为 COPY,其成员最初发现了该漏洞),也无法联系到名为 sisu 的人。

与意大利 mhackeroni 团队一起参加 CTF 竞赛的研究员 Filippo Cremonese 说,CTF 团队和 CTF 玩家在竞赛中发现零日漏洞的情况并不少见,尤其是在这种类型的挑战赛和"高调"的竞赛中。

这个漏洞的有趣之处在于,它显然是由苹果公司的一名员工在Google产品中发现的,而出于某种原因,这名苹果员工决定不报告这个漏洞。

在 3 月 26 日的原始报告中,报告者称该漏洞是 COPY 团队的某人在 XHP 团队组织的 CTF 中发现的。报告中没有透露此人的姓名,他说他们决定即使不是自己发现的,也要报告,因为他们"不能百分百确定是否已报告给 chromium 团队"。

"既然是你披露了这个问题,而且没有重复的问题,那么发现这个问题的团队似乎选择了不向我们披露?"这名Google员工在错误报告的另一条评论中写道。

根据漏洞报告,该漏洞已于 3 月 29 日修复。Google决定将 10000 美元作为漏洞赏金奖励给报告者,但报告者同样不是发现该漏洞的人。

我们在FebBox(https://www.febbox.com/cnbeta) 开通了新的频道,更好阅读体验,更及时更新提醒,欢迎前来阅览和打赏。
查看评论
created by ceallan