在大多數的情況下,科技公司的安全研究人員會在發現其他廠商零日漏洞時,向對方提出報告以協助彼此改善安全系統。但是現在有外媒報導,一名蘋果員工在發現 Google Chrome 的一個零日漏洞後,卻一直沒有向蘋果或 Google 報告。
Google Chrome 瀏覽器在最新的更新中,修復了一個零日漏洞,大多情況下都會在更新描述中寫明是由誰所發現,並如何修復這項漏洞。而 Google 就針對這項漏洞有一個有趣的描述,「這個問題是由參加 CTF(Capture The Flag)競賽 的 sisu 所報告,不過漏洞是由蘋果安全工程與架構(SEAR)的一名成員在參加 CTF 競賽期間所發現」。
具體來說,這項漏洞是在 3 月份時,蘋果員工參加 CTF 駭客競賽時發現的。當這名蘋果員工發現時,這項漏洞仍是零日漏洞(意味著在那一刻前都沒人注意過它)。雖然現在 Google 已經修復了這項漏洞,但是功勞並不在這名發現漏洞的蘋果安全研究人員身上。
據《TechCrunch》報導,這項漏洞是由其他一起參加 CTF 競賽的 sisu 所報告,但是 sisu 所屬的團隊實際上也沒有發現這項漏洞,甚至跟這名發現漏洞的蘋果員工也不是同一隊。
《TechCrunch》在查看了一個 Discord 頻道後發現,一名自稱是最一開始發現這項零日漏洞的蘋果員工解釋了他們的觀點,特別是提到了沒有立即報告這項錯誤的原因。
在 Discord 頻道上解釋的人名為 Gallileo,他在 7 月 6 日時表示,自己花了兩週的時間來研究這個問題的根本原因,利用概念驗證以編寫漏洞,並記錄下問題以便可以解決它。
Gallileo 指出,這項漏洞是 6 月 5 日時透過蘋果所報告,報告遲到的原因有很多。他進一步解釋,自己需要先找到責任人,因為報告需要有人簽字。值得讚揚的是 Google 很快地就解決這項問題,Gallileo 也認為這沒有真正的急迫性。
據 Google 的錯誤報告顯示,這項錯誤在 3 月 29 日獲得修復。Google 決定向提出問題報告的人提供 1 萬美元的漏洞獎金,但是提出報告的人並非發現問題的人。
(首圖來源: CC BY 2.0)
標題:蘋果員工老早發現 Chrome 漏洞,卻不報告給 Google
地址:https://www.utechfun.com/post/240917.html