11月 15, 2024

kenmin-souko.jp

日本からの最新ニュースと特集:ビジネス、政治、解説文化、ライフ&スタイル、エンターテインメント、スポーツ。

Googleは、Apple従業員がDay Zeroを発見したが報告しなかったと発表

Googleは、Apple従業員がDay Zeroを発見したが報告しなかったと発表

Googleは、Apple従業員によって発見されたChromeのゼロデイを特定しました。 公式バグレポートのコメントによると。 このバグ自体はニュースに値するものではありませんが、このバグが発見され Google に報告された経緯は、控えめに言っても奇妙です。

Google社員によるとこのバグはもともと、3 月に開催された Capture The Flag (CTF) ハッキング コンテストに参加していた Apple 従業員によって発見されました。 しかし、この Apple 従業員はバグを報告しておらず、その時点ではバグはゼロでした。つまり、Google はバグを認識しておらず、パッチはまだリリースされていません。 代わりに、バグはコンテストに参加していた他の人によって報告されましたが、その人は実際に自分でバグを発見したわけではなく、バグを発見したチームのメンバーでもありませんでした。

「この問題は、CTF HXP チームの sisu によって報告され、HXP CTF 2022 中に Apple Security Engineering and Architecture (SEAR) のメンバーによって発見されました」と Google 社員は書いています。

この記事が最初に公開された後、TechCrunch は、最初に Zero-Day を発見した Apple 従業員であると主張する誰かが、Google にバグを報告した Sisu に応じて、自分の側の話、特にバグをすぐに報告しなかった理由を説明している Discord チャンネルを確認しました。

「理由を突き止めるまでフルタイムで取り組むのに2週間かかった」と彼は書いている。 [the] 悪用する [Proof of Concept] そして、解決できるように問題を書き留めてください」と7月6日にガリレオの隣に行った人物は書いた。

この問題は私の会社から 6 月 5 日に報告されました。はい、遅かったです。それには複数の理由があります。まず責任者を見つける必要があり、報告書には人々が署名する必要があり、その後責任者は OOO でした。Chrome が早急に修正することを決定したのは称賛に値しますが、実際の緊急性はなかったと思います。この問題に気づいていたのはあなたと私のチームだけであり、現実世界のシナリオでは問題はそれほど大きくない可能性があります (Android では機能しません)。 Chrome の GUI が数秒間フリーズするため、非常に目立つ)と Galileo は書いています。

ガリレオ氏とセッソ氏はコメントの要請に応じなかった。

アップルはコメントの要請に応じなかった。

Googleの広報担当者Ed Fernandez氏はTechCrunchに対し、「私たちの一般の理解には誤りがある」と電子メールで語った。

「詳細については Apple に問い合わせることをお勧めします」とフェルナンデス氏は書いている。

イタリアチームのCTF競技に携わる研究者のフィリッポ・クレモネーゼ氏によると、特にこの種のチャレンジや「注目度の高い」競技では、CTFチームやCTF選手が競技中にゼロデイを見つけることは珍しいことではないという。 マカロニちなみに、これは史上最高の海賊チーム名かもしれません。

このバグの話が興味深いのは、このバグが明らかに Apple 従業員によって Google 製品で発見されたのに、何らかの理由で Apple 従業員がバグを報告しないことにしたということです。

元のレポートでは 3 月 26 日、バグを報告した人は、そのバグは COPY チームの誰かが発見したと述べました。 CTF中 チーム主催 HXP。 この人物の名前は報告書では明らかにされていないが、「Chromiumチームに報告されたかどうか100%確信が持てなかった」ため、自分たちで発見できなかったとしても報告することにしたと述べた。

「だから私は安全を確保したかったのです」とその人は書いている。

「この問題を公開しているのはあなたであり、重複はありません。ということは、この問題を発見したチームは、私たちに公開しないことを選択したようですね?」 バグレポートに関する別のコメントで Google 従業員がこう書いています。

バグレポートによると、このバグは3月29日に修正されたという。 Google は、バグを報告した人に 10,000 ドルの報奨金を与えることにしましたが、これも発見者ではありませんでした。

7 月 20 日午後 2 時 30 分 (東部標準時) 更新: このストーリーは、最初にバグを発見したと主張する人物によって投稿された Discord メッセージを含めて更新されました。

READ  Verizon は、Galaxy S22 用の安定した Android 13 アップデートを既にリリースしていますか?