Google hat einen Zero-Day-Fehler in Chrome behoben, der von einem Apple-Mitarbeiter gefunden wurde. gemäß den Kommentaren im offiziellen Fehlerbericht. Auch wenn der Fehler selbst keinen Nachrichtenwert hat, sind die Umstände, unter denen dieser Fehler gefunden und an Google gemeldet wurde, gelinde gesagt merkwürdig.
Laut einem Google-MitarbeiterDer Fehler wurde ursprünglich von einem Apple-Mitarbeiter entdeckt, der im März an einem Capture The Flag (CTF)-Hacking-Wettbewerb teilnahm. Dieser Apple-Mitarbeiter hat den Fehler jedoch nicht gemeldet, da es sich zu diesem Zeitpunkt um einen Zero-Day handelte – was bedeutet, dass Google den Fehler nicht kannte und noch kein Patch veröffentlicht wurde. Der Fehler wurde stattdessen von jemand anderem gemeldet, der ebenfalls am Wettbewerb teilgenommen hat, den Fehler nicht selbst gefunden hat und nicht einmal zu dem Team gehörte, das den Fehler gefunden hat.
„Dieses Problem wurde von sisu vom CTF-Team HXP gemeldet und von einem Mitglied von Apple Security Engineering and Architecture (SEAR) während HXP CTF 2022 entdeckt“, schrieb der Google-Mitarbeiter.
Es ist unklar, warum der Apple-Mitarbeiter den Fehler nicht bereits im März gemeldet hat.
Apple antwortete nicht auf eine Bitte um Stellungnahme.
Google-Sprecher Ed Fernandez teilte Tech in einer E-Mail mit, dass „unser Verständnis des Fehlers öffentlich ist“.
„Wir [recommend] Wenden Sie sich für weitere Details an Apple“, schrieb Fernandez.
Tech konnte weder das CTF-Team namens COPY kontaktieren, dessen Mitglied den Fehler ursprünglich gefunden hatte, noch die Person namens Sisu.
Laut Filippo Cremonese, einem Forscher, der mit dem italienischen Team an CTF-Wettbewerben teilnimmt, ist es nicht ungewöhnlich, dass CTF-Teams und CTF-Spieler bei Wettkämpfen Zero-Days feststellen, insbesondere bei Herausforderungen dieser Art und Wettkämpfen, die „hochkarätig“ sind mhackeroniwas übrigens möglicherweise der beste Hacker-Teamname aller Zeiten ist.
Was die Geschichte dieses Fehlers interessant macht, ist, dass er offenbar von einem Apple-Mitarbeiter in einem Google-Produkt gefunden wurde und dieser Apple-Mitarbeiter – aus irgendeinem Grund – beschlossen hat, den Fehler nicht zu melden.
Im Originalbericht Am 26. März sagte die Person, die den Fehler gemeldet hatte, dass der Fehler von jemandem im Team COPY gefunden wurde während einer CTF vom Team organisiert XHP. Die Person, deren Name in dem Bericht nicht genannt wird, sagte, sie habe beschlossen, es zu melden, auch wenn sie es selbst nicht gefunden habe, weil sie „nicht 100 % sicher sei, dass es dem Chromium-Team gemeldet wurde“.
„Also wollte ich auf Nummer sicher gehen“, schrieb die Person.
„Da Sie derjenige sind, der dieses Problem offenlegt, und es keine Duplikate gibt, scheint es, dass das Team, das dieses Problem entdeckt hat, beschlossen hat, es uns nicht mitzuteilen?“ schrieb der Google-Mitarbeiter in einem weiteren Kommentar zum Fehlerbericht.
Der Fehler wurde laut Fehlerbericht am 29. März behoben. Google hat beschlossen, der Person, die den Fehler gemeldet hat, 10.000 US-Dollar als Kopfgeld für den Fehler zu zahlen, der wiederum nicht derjenige war, der den Fehler gefunden hat.