Google утверждает, что сотрудник Apple обнаружил уязвимость нулевого дня в браузере Chrome, однако не рассказал о ней компании. Баг уже устранили.
По словам сотрудника Google, ошибка была первоначально обнаружена в Apple, когда она участвовала в соревновании Capture The Flag (CTF) в марте. Но сотрудник не сообщил об ошибке. О ней рассказал другой участник соревнования. Однако он даже не был в команде, которая её обнаружила. «Об этой проблеме сообщил участник sisu из команды CTF HXP, но она была обнаружена членом Apple Security Engineering and Architecture (SEAR)», — поделился сотрудник Google.
После этого в TechCrunch обнаружили канал Discord, где некий человек, представившийся сотрудником Apple, опубликовал свою версию этой истории в ответ на пост sisu. «Мне потребовалось две недели, чтобы найти основную причину, написать эксплойт и описать проблему так, чтобы её можно было исправить», — указывает этот пользователь с ником Gallileo в сообщении от 6 июля.
«Об ошибке сообщили 5 июня через мою компанию. Да, поздно, тому есть несколько причин. Я сначала должен был найти ответственного, отчёт должен был быть подписан другими сотрудниками. Похвально, что Chrome решил исправить проблему как можно скорее, но я думаю, что особой срочности не было. Только вы и моя команда знали об этом, и проблема, вероятно, не так уж реализуема в реальном сценарии (не работает на Android)», — продолжил он.
По словам Филиппо Кремонезе, исследователя, который участвует в соревнованиях CTF с итальянской командой mhackeroni, такие эпизоды не редки. Однако интересна переписка между сообщившим об ошибке и сотрудником Google. В первом отчёте от 26 марта указано, что ошибка была обнаружена кем-то из команды COPY, организованной командой HXP. Автор объясняет, что решил отправить отчёт, так как «не был на 100% уверен, что об этом сообщили команде Chrome». «Поскольку вы раскрываете эту проблему, но похожих сообщений нет. Вероятно, что команда, обнаружившая её, решила не раскрывать её нам?» — удивляется в ответ сотрудник Google.
В итоге ошибка была исправлена 29 марта. Google направила $10 000 в качестве вознаграждения sisu.
