Apple employee failed to immediately report zero-day Chrome vulnerability to Google


Τεχνολογία


Ο υπάλληλος της Apple απέτυχε να αναφέρει αμέσως την ευπάθεια zero-day του Chrome στην Google

Μια ευπάθεια zero-day είναι ένα ελάττωμα λογισμικού που ήταν άγνωστο στον προγραμματιστή ή τον προμηθευτή προτού ειδοποιηθούν σχετικά. Αυτό σημαίνει ότι είχαν «μηδέν ημέρες» για να το διορθώσουν. Κανονικά, μια εταιρεία που βρίσκει μια ευπάθεια μηδενικής ημέρας θα το έλεγε στον προγραμματιστή ή στον προμηθευτή ακόμα και αν εργάζονταν για μια αντίπαλη στολή. Γιατί; Επειδή βοηθά να σταματήσει ένας κακόβουλος χάκερ, βοηθά στην εκκαθάριση της βιομηχανίας και επειδή η εταιρεία ποτέ δεν ξέρει πότε μπορεί να βρίσκεται στην άλλη πλευρά μιας τέτοιας κατάστασης.

Την άλλη μέρα, ανά

9 έως 5 Mac

, ένας υπάλληλος της

ανακάλυψε μια ευπάθεια zero-day στο

Chrome αλλά δεν την ανέφερε αμέσως στην Google. Κατά τη συζήτηση της ενημέρωσης του προγράμματος περιήγησης Chrome για τη διόρθωση της ευπάθειας zero-day, η Google επεσήμανε ότι το σφάλμα ανακαλύφθηκε κατά τη διάρκεια ενός διαγωνισμού

που ονομάζεται “Capture The Flag” (CTF) τον Μάρτιο. Και τώρα η Google έχει διορθώσει το ελάττωμα, αν και δεν μπορεί να ευχαριστήσει την Apple που της υπέδειξε το πρόβλημα.
Πώς ανακάλυψε λοιπόν η Google για την ευπάθεια Zero-day που κρέμεται πάνω από το κεφάλι του προγράμματος περιήγησής της Chrome; Υπάλληλος της Google

έγραψε σε ένα blog

(μέσω

TechCrunch

) ότι ένας άλλος συμμετέχων στον διαγωνισμό CTF ανέφερε το σφάλμα στις 26 Μαρτίου. Αυτό που έγραψε ήταν ότι “Αυτό το ζήτημα αναφέρθηκε από τον sisu από την ομάδα CTF HXP και ανακαλύφθηκε από ένα μέλος της Apple

Engineering and Architecture (SEAR) κατά τη διάρκεια του HXP CTF 2022.”

Το TechCrunch βρήκε τελικά ένα κανάλι Discord όπου κάποιος που ισχυρίστηκε ότι ήταν ο υπάλληλος της Apple που βρήκε την ευπάθεια εξήγησε γιατί δεν το ανέφερε στην Google. Το άτομο, που ακούει στο όνομα Gallileo, έγραψε στις 6 Ιουλίου, «Μου πήρε 2 εβδομάδες να το δουλέψω με πλήρες ωράριο για να βασίσω την αιτία, να γράψω [the] εκμεταλλεύομαι [Proof of Concept] και γράψτε το πρόβλημα έτσι ώστε να μπορεί να διορθωθεί.”

Συνέχισε λέγοντας ότι το ελάττωμα “…αναφέρθηκε στις 5 Ιουνίου, μέσω της εταιρείας μου. Ναι, ήταν αργά, υπάρχουν πολλοί λόγοι γι’ αυτό. Πρώτα έπρεπε να βρω τον υπεύθυνο, η αναφορά έπρεπε να υπογραφεί από άτομα και μετά ο υπεύθυνος ήταν η OOO (εκτός γραφείου). Είναι αξιέπαινο το γεγονός ότι το Chrome αποφάσισε να το διορθώσει το συντομότερο, αλλά νομίζω ότι δεν υπήρχε πραγματικό πρόβλημα στην ομάδα μου. orld σενάριο (δεν λειτουργεί σε

, είναι αρκετά ορατό αφού παγώνει το γραφικό περιβάλλον χρήστη του Chrome για λίγα δευτερόλεπτα.”

Η αρχική αναφορά, όπως σημειώθηκε, είχε ημερομηνία 26 Μαρτίου και η Google αποφάσισε να ανταμείψει το άτομο που την έφερε υπόψη της με ένα «γενικό σφάλμα» 10.000 δολαρίων. Ποιος λέει ότι δεν συμφέρει να είσαι εξολοθρευτής σφαλμάτων; Επίσης, δεν είναι ασυνήθιστο να ανακαλύπτονται ελαττώματα κατά τη διάρκεια διαγωνισμών χάκερ “Capture the Flag”.


phonearena.com










You might also like


Τεχνολογία




Τροποποιήσεις προστασίας απορρήτου για κρυπτογραφημένα μηνύματα που προστέθηκαν στο…



Τεχνολογία




Το Android 14 θα είναι η τρίτη και τελευταία μεγάλη ενημέρωση για ορισμένες…



Τεχνολογία




ChatGPT: Everything you need to know about the AI-powered chatbot



Τεχνολογία




Χρώματα Pixel 8: τι να περιμένετε



Leave A Reply



Cancel Reply

Your email address will not be published.