Créditos de la imagen: S3studio/imágenes falsas/imágenes falsas
Google arregló un día cero en Chrome que fue encontrado por un empleado de Apple. de acuerdo con los comentarios en el informe de error oficial. Si bien el error en sí no es de interés periodístico, las circunstancias de cómo se descubrió este error y se informó a Google son extrañas, por decir lo menos.
Según un empleado de Google, el error fue descubierto originalmente por un empleado de Apple que participó en el concurso de piratería Capture The Flag (CTF) en marzo. Pero ese empleado de Apple no informó el error, que era de día cero en ese momento, lo que significa que Google no estaba al tanto del error y aún no se había lanzado ningún parche. En cambio, el error fue informado por otra persona que también participó en el concurso, en realidad no encontró el error y ni siquiera estaba en el equipo que lo encontró.
«Este problema fue informado por sisu al equipo de CTF HXP y descubierto por un miembro de Apple Security Engineering and Architecture (SEAR) durante HXP CTF 2022», escribió un empleado de Google.
Después de que esta historia se publicó por primera vez, TechCrunch echó un vistazo a un canal de Discord donde alguien que decía ser el empleado de Apple que encontró originalmente el día cero explicó su versión de la historia, específicamente por qué no informaron el error de inmediato. en respuesta a sisu. , la persona que informó el error a Google.
“Me tomó 2 semanas de trabajar en él a tiempo completo para rootear, escribir [the] explotar [Proof of Concept] y escribe el problema de tal manera que se pueda arreglar”, escribió el hombre junto a Galileo el 6 de julio.
“Se informó a través de mi empresa el 5 de junio. Sí, era tarde, hay muchas razones para eso. Primero tenía que encontrar al responsable, el informe tenía que ser firmado por personas, y luego el responsable era OOO. Es bueno que Chrome decidiera arreglarlo lo antes posible, pero supongo que realmente no había prisa. Solo usted y mi equipo lo sabían, y el problema probablemente no sea tan grande en un escenario del mundo real (no funciona en Android, es bastante visible porque congela la interfaz de usuario de Chrome durante unos segundos)”, escribió Galileo.
Ni Galileo ni Sissu respondieron de inmediato a una solicitud de comentarios.
Apple no respondió a una solicitud de comentarios.
El portavoz de Google, Ed Fernandez, le dijo a TechCrunch en un correo electrónico que «nuestro entendimiento está abierto».
«Recomendamos contactar a Apple para obtener detalles adicionales», escribió Fernández.
No es raro que los equipos de la CTF y los jugadores de la CTF encuentren días cero durante las competencias, especialmente en este tipo de desafíos y competencias de «alto perfil», según Filippo Cremonese, un investigador que participa en las competencias de la CTF con el equipo italiano. macarronesque, por cierto, podría ser el mejor nombre de equipo de piratería de todos los tiempos.
Lo que hace que la historia de este error sea interesante es que aparentemente fue encontrado por un empleado de Apple en un producto de Google y, por alguna razón, el empleado de Apple decidió no informar el error.
En el informe original La persona que lo informó el 26 de marzo dijo que el error fue descubierto por un miembro del equipo COPY Durante CTF organizado por el equipo XHP:. La persona, que no fue nombrada en el informe, dijo que decidió informarlo incluso si no lo encontró porque «no estaba 100% seguro de que se informara al equipo de Chrome».
«Así que quería estar a salvo», escribió la persona.
«Dado que usted fue quien descubrió este problema y no hay duplicados, parece que el equipo que descubrió este problema optó por no revelarnos». Un empleado de Google escribió en otro comentario sobre el informe de errores:
El error se solucionó el 29 de marzo, según el informe de errores. Google decidió otorgar una recompensa por error de $ 10,000 a la persona que lo informó, quien, nuevamente, no fue quien lo encontró.
ACTUALIZACIÓN, 20 de julio, 2:30 ET. Esta historia se ha actualizado para incluir los mensajes de Discord publicados por la persona que afirma haber encontrado originalmente el error.
Beer ninja. Internet maven. Music buff. Wannabe web evangelist. Analista. Introvertido