گوگل می گوید کارمند اپل روز صفر را پیدا کرده اما آن را گزارش نکرده است

بر اساس نظرات در گزارش رسمی باگ، گوگل یک روز صفر در کروم را که توسط یکی از کارمندان اپل پیدا شده بود، برطرف کرد. در حالی که این اشکال به خودی خود ارزش خبری ندارد، شرایط چگونگی یافتن این باگ و گزارش آن به گوگل، حداقل، عجیب و غریب است.

به گفته یکی از کارمندان گوگل، این باگ در اصل توسط یکی از کارمندان اپل که در رقابت هک Capture The Flag (CTF) در ماه مارس شرکت کرده بود، پیدا شد. اما آن کارمند اپل این باگ را گزارش نکرد، که در آن زمان یک روز صفر بود – به این معنی که گوگل از این باگ آگاه نبود و هنوز هیچ وصله‌ای صادر نشده بود. در عوض، این باگ توسط شخص دیگری گزارش شده است که او نیز در مسابقه شرکت کرده است، در واقع خود باگ را پیدا نکرده است و حتی در تیمی که باگ را پیدا کرده است، وجود نداشته است.

کارمند گوگل نوشت: «این مشکل توسط sisu از تیم CTF HXP گزارش شد و توسط یکی از اعضای مهندسی و معماری امنیتی اپل (SEAR) در طول HXP CTF 2022 کشف شد.

مشخص نیست که چرا کارمند اپل این باگ را در ماه مارس گزارش نکرده است.

اپل و گوگل به درخواستی برای اظهار نظر پاسخ ندادند. TechCrunch نتوانست راهی برای تماس با تیم CTF – به نام COPY – پیدا کند که عضو اصلی آن باگ را پیدا کرده است، و نه با شخصی به نام sisu.

به گفته فیلیپو کرمونز، محققی که در مسابقات CTF با تیم ایتالیایی شرکت می کند، غیرمعمول نیست که تیم های CTF و بازیکنان CTF در طول مسابقات، روزهای صفر را پیدا کنند، به خصوص در چالش هایی از این نوع و مسابقاتی که “پرمخاطب” هستند. ماکرونی، که اتفاقاً ممکن است بهترین نام تیم هکری باشد.

چیزی که داستان این باگ را جالب می کند این است که ظاهراً توسط یکی از کارمندان اپل در یکی از محصولات گوگل پیدا شده است و – بنا به دلایلی – آن کارمند اپل تصمیم گرفت این اشکال را گزارش نکند.

در گزارش اصلی در 26 مارس، شخصی که آن را گزارش کرد گفت که این اشکال توسط فردی در تیم COPY در طول یک CTF سازماندهی شده توسط تیم پیدا شده است. XHP. فردی که نامش در این گزارش فاش نشده است، گفت که تصمیم گرفتند آن را گزارش کنند، حتی اگر خودشان آن را پیدا نکردند، زیرا “100٪ مطمئن نبودند که به تیم کروم گزارش شده است.”

آن شخص نوشت: «پس می‌خواستم در امان باشم.

“از آنجایی که شما کسی هستید که این موضوع را فاش می کند و هیچ مورد تکراری وجود ندارد، به نظر می رسد تیمی که این موضوع را کشف کرده است تصمیم گرفته است آن را برای ما فاش نکند؟” کارمند گوگل در نظر دیگری به گزارش اشکال نوشت.

بر اساس گزارش باگ، این باگ در 29 مارس برطرف شد. گوگل تصمیم گرفت 10000 دلار به عنوان جایزه باگ به فردی که آن را گزارش کرده است، اعطا کند، کسی که دوباره آن را پیدا نکرده است.