November 14, 2024

BNA-Germany

Folgen Sie den großen Nachrichten aus Deutschland, entdecken Sie ausgefallene Nachrichten aus Berlin und anderen Städten. Lesen Sie ausführliche Funktionen, die Ihnen helfen, die Denkweise der Deutschen zu verstehen.

Google sagt, ein Apple-Mitarbeiter habe Day Zero gefunden, es aber nicht gemeldet

Google sagt, ein Apple-Mitarbeiter habe Day Zero gefunden, es aber nicht gemeldet

Google hat Zero-Days in Chrome identifiziert, das von einem Apple-Mitarbeiter gefunden wurde. Laut den Kommentaren im offiziellen Fehlerbericht. Auch wenn der Fehler selbst keinen Nachrichtenwert hat, sind die Umstände, unter denen dieser Fehler gefunden und an Google gemeldet wurde, gelinde gesagt bizarr.

Laut einem Google-MitarbeiterDer Fehler wurde ursprünglich von einem Apple-Mitarbeiter entdeckt, der im März am Hacking-Wettbewerb Capture The Flag (CTF) teilnahm. Aber dieser Apple-Mitarbeiter hat den Fehler nicht gemeldet, der damals Null war – was bedeutet, dass Google von dem Fehler nichts wusste und noch kein Patch veröffentlicht wurde. Stattdessen wurde der Fehler von jemand anderem gemeldet, der ebenfalls am Wettbewerb teilgenommen hat, der den Fehler jedoch nicht selbst gefunden hat und nicht einmal zu dem Team gehörte, das den Fehler entdeckt hat.

„Dieses Problem wurde von sisu vom CTF HXP-Team gemeldet und von einem Mitglied von Apple Security Engineering and Architecture (SEAR) während HXP CTF 2022 entdeckt“, schrieb der Googler.

Nachdem diese Geschichte zum ersten Mal veröffentlicht wurde, sah TechCrunch einen Discord-Kanal, in dem jemand, der behauptete, der Apple-Mitarbeiter zu sein, der Zero-Day ursprünglich gefunden hatte, seine Seite der Geschichte erklärte, insbesondere, warum der Fehler nicht sofort gemeldet wurde, als Antwort an Sisu, die Person, die den Fehler an Google gemeldet hatte.

„Ich habe zwei Wochen Vollzeit daran gearbeitet, bis ich den Grund dafür herausgefunden habe“, schreibt er [the] Ausbeuten [Proof of Concept] Und schreiben Sie das Problem auf, damit es gelöst werden kann“, schrieb die Person, die Galileo am 6. Juli begleitete.

Es wurde am 5. Juni von meiner Firma gemeldet. Ja, es war spät, und dafür gibt es mehrere Gründe. Zuerst musste ich die verantwortliche Person finden, der Bericht musste von Leuten unterschrieben werden und dann war die verantwortliche Person OOO. Es ist lobenswert, dass Chrome beschlossen hat, das Problem so schnell wie möglich zu beheben, aber ich denke, es bestand keine wirkliche Dringlichkeit. Nur Sie und mein Team waren sich dessen bewusst, und es ist wahrscheinlich, dass das Problem in einem realen Szenario nicht groß sein würde (es funktioniert nicht auf Android, es ist sehr sichtbar). weil es die GUI von Chrome für ein paar Sekunden einfriert), schrieb Galileo.

Siehe auch  Spotify befindet sich im Krieg mit Apple, nachdem der App Store sein großes neues Feature abgelehnt hat

Galileo und Cesso antworteten nicht auf eine Bitte um Stellungnahme.

Apple antwortete nicht auf eine Bitte um Stellungnahme.

Google-Sprecher Ed Fernandez teilte TechCrunch in einer E-Mail mit, dass „unser öffentliches Verständnis schuld ist“.

„Wir empfehlen, Apple für weitere Einzelheiten zu kontaktieren“, schrieb Fernandez.

Laut Filippo Cremonese, einem Forscher, der mit dem italienischen Team an CTF-Wettbewerben beteiligt ist, ist es nicht ungewöhnlich, dass CTF-Teams und CTF-Spieler bei Wettkämpfen null Tage vorfinden, insbesondere bei Herausforderungen dieser Art und „hochkarätigen“ Wettkämpfen. Makkaroniwas übrigens der beste Name für ein Piratenteam aller Zeiten sein könnte.

Was die Geschichte dieses Fehlers interessant macht, ist, dass er offenbar von einem Apple-Mitarbeiter in einem Google-Produkt entdeckt wurde und der Apple-Mitarbeiter aus irgendeinem Grund beschlossen hat, den Fehler nicht zu melden.

im Originalbericht Am 26. März sagte die Person, die den Fehler gemeldet hatte, dass der Fehler von jemandem aus dem COPY-Team gefunden wurde während CTF Organisiert vom Team HXP. Die Person, deren Name im Bericht nicht genannt wurde, sagte, sie habe beschlossen, es zu melden, auch wenn sie es selbst nicht gefunden habe, weil „sie nicht 100 % sicher war, dass es dem Chromium-Team gemeldet wurde“.

„Also wollte ich auf Nummer sicher gehen“, schrieb die Person.

„Da Sie derjenige sind, der dieses Problem offenlegt, und es keine Duplikate gibt, scheint es, dass das Team, das dieses Problem entdeckt hat, beschlossen hat, es uns nicht mitzuteilen?“ schrieb ein Google-Mitarbeiter in einem weiteren Kommentar zum Fehlerbericht.

Der Fehler wurde laut Fehlerbericht am 29. März behoben. Google hat beschlossen, der Person, die den Fehler gemeldet hat, ein Kopfgeld von 10.000 US-Dollar zu zahlen, was wiederum nicht die Person war, die den Fehler gefunden hat.

Siehe auch  So nennt Samsung den Snapdragon 8 Gen 2-Chip für das Galaxy S23

Update, 20. Juli, 14:30 Uhr ET: Diese Geschichte wurde aktualisiert und enthält jetzt Discord-Nachrichten, die von der Person gepostet wurden, die behauptet, den Fehler ursprünglich entdeckt zu haben.