Молчание - лучший друг уязвимости: Сотрудник Apple обнаруживает уязвимость в Chrome и не сообщает о ней
Молчание - лучший друг уязвимости: Сотрудник Apple обнаруживает уязвимость в Chrome и не сообщает о ней
Alexander Antipov
Google Apple CTF безопасность взлом Discord ошибка битва sisu Gallileo mhackeroni TechCrunch исправление недостаток эксплойт Chrome Android
Почему Google узнал о проблеме от постороннего?"
Ошибка была обнаружена в марте 2023 года командой Apple Security Engineering and Architecture (SEAR). Но Google не был сразу же оповещен о данной ошибке. Вместо этого об ошибке сообщил другой участник CTF, который даже не был в команде, которая её обнаружила.
6 июля пользователь с ником Gallileo, представившийся сотрудником Apple, опубликовал свою версию этой истории на канале Discord. Он сказал, что ему потребовалось две недели, чтобы найти основную причину ошибки, написать эксплойт и описать проблему так, чтобы её можно было исправить. Он также сказал, что ошибка была сообщена Google 5 июня.
Филиппо Кремонезе, исследователь, который участвует в соревнованиях CTF с итальянской командой mhackeroni, сказал, что такие эпизоды не редки. Он отметил, что интересно, что сообщивший об ошибке и сотрудник Google обменивались сообщениями. В первом отчёте от 26 марта указано, что ошибка была обнаружена кем-то из команды COPY, организованной командой HXP. Автор объясняет, что решил отправить отчёт, так как «не был на 100% уверен, что об этом сообщили команде Chrome». «Поскольку вы раскрываете эту проблему, но похожих сообщений нет. Вероятно, команда, обнаружившая её, решила не раскрывать её нам?» — спрашивает в ответ сотрудник Google.
Ошибка была исправлена 29 марта. Google направила $10 000 в качестве вознаграждения sisu, который сообщил об ошибке.
6 июля пользователь с ником Gallileo, представившийся сотрудником Apple, опубликовал свою версию этой истории на канале Discord. Он сказал, что ему потребовалось две недели, чтобы найти основную причину ошибки, написать эксплойт и описать проблему так, чтобы её можно было исправить. Он также сказал, что ошибка была сообщена Google 5 июня.
Филиппо Кремонезе, исследователь, который участвует в соревнованиях CTF с итальянской командой mhackeroni, сказал, что такие эпизоды не редки. Он отметил, что интересно, что сообщивший об ошибке и сотрудник Google обменивались сообщениями. В первом отчёте от 26 марта указано, что ошибка была обнаружена кем-то из команды COPY, организованной командой HXP. Автор объясняет, что решил отправить отчёт, так как «не был на 100% уверен, что об этом сообщили команде Chrome». «Поскольку вы раскрываете эту проблему, но похожих сообщений нет. Вероятно, команда, обнаружившая её, решила не раскрывать её нам?» — спрашивает в ответ сотрудник Google.
Ошибка была исправлена 29 марта. Google направила $10 000 в качестве вознаграждения sisu, который сообщил об ошибке.
Ищем темную материю и подписчиков!
Одно найти легче, чем другое. Спойлер: это не темная материя