O Google identificou zero dias no Chrome que foi encontrado por um funcionário da Apple, De acordo com os comentários no relatório de bug oficial. Embora o bug em si não seja interessante, as circunstâncias de como esse bug foi encontrado e relatado ao Google são, para dizer o mínimo, bizarras.
De acordo com um funcionário do GoogleO bug foi originalmente encontrado por um funcionário da Apple que estava participando do concurso de hackers Capture The Flag (CTF) em março. Mas esse funcionário da Apple não relatou o bug, que então era zero – o que significa que o Google não sabia do bug e um patch ainda não foi lançado. Em vez disso, o bug foi relatado por outra pessoa que também participou do concurso, que na verdade não encontrou o bug e nem estava na equipe que descobriu o bug.
“Este problema foi relatado por sisu da equipe CTF HXP e foi descoberto por um membro da Apple Security Engineering and Architecture (SEAR) durante o HXP CTF 2022”, escreveu o Googler.
Depois que esta história foi publicada pela primeira vez, o TechCrunch viu um canal Discord onde alguém afirmando ser o funcionário da Apple que originalmente encontrou o Zero-Day explicou seu lado da história, particularmente por que o bug não foi relatado imediatamente, em resposta a Sisu, a pessoa que relatou o bug ao Google.
“Levei duas semanas para trabalhar nisso em tempo integral até chegar ao fundo do porquê”, escreve ele [the] Explorar [Proof of Concept] E anote o problema para que possa ser resolvido”, escreveu a pessoa que esteve ao lado do Galileo no dia 6 de julho.
Foi relatado em 5 de junho, pela minha empresa. Sim, era tarde e há vários motivos para isso. Primeiro tive que encontrar o responsável, o relatório teve que ser assinado por pessoas e depois o responsável foi OOO. É louvável que o chrome tenha decidido consertar o mais rápido possível, mas acho que não havia urgência real. Apenas você e minha equipe sabiam disso e é provável que o problema não fosse muito em um cenário do mundo real (não funciona no Android, é muito visível porque congela a GUI do Chrome por alguns segundos), escreveu Galileo.
Galileo e Cesso não responderam a um pedido de comentário.
A Apple não respondeu a um pedido de comentário.
O porta-voz do Google, Ed Fernandez, disse ao TechCrunch em um e-mail que “nosso entendimento público está errado”.
“Recomendamos entrar em contato com a Apple para obter mais detalhes”, escreveu Fernandez.
Não é incomum que times e jogadores do CTF encontrem zero dias durante as competições, principalmente em desafios dessa natureza e competições de “alto perfil”, segundo Filippo Cremonese, pesquisador envolvido em competições do CTF com a seleção italiana. Macarrãoque por sinal pode ser o melhor nome de equipe pirata de todos os tempos.
O que torna a história desse bug interessante é que ele aparentemente foi descoberto por um funcionário da Apple em um produto do Google e, por algum motivo, o funcionário da Apple decidiu não relatar o bug.
no relatório original Em 26 de março, a pessoa que relatou o bug disse que o bug foi encontrado por alguém da equipe COPY durante CTF organizado pela equipe HXP. A pessoa, cujo nome não foi divulgado no relatório, disse que decidiu denunciá-lo, mesmo que não o encontrasse porque “não tinha 100% de certeza de que foi relatado à equipe do Chromium”.
“Então, eu queria estar seguro”, escreveu a pessoa.
“Como você está divulgando esse problema e não há duplicatas, parece que a equipe que descobriu esse problema optou por não divulgá-lo para nós?” escreveu um funcionário do Google em outro comentário sobre o relatório de bug.
O bug foi corrigido em 29 de março, de acordo com o relatório do bug. O Google decidiu dar uma recompensa de US$ 10.000 pelo bug para a pessoa que o relatou, que, novamente, não foi a pessoa que o encontrou.
Atualização, 20 de julho, 14:30 ET: Esta história foi atualizada para incluir mensagens do Discord postadas pela pessoa que afirma ter descoberto originalmente o bug.