Сотрудник Apple, как сообщается, не сообщил Google об уязвимости нулевого дня, обнаруженной в Chrome

Filipe Espósito | Четверг, 20 июля, 2023, 10:33.

Avatar for Filipe Espósito
 | 20 июля 2023 г. — 12:46 PT
Apple Safari and Google Chrome

Как мы часто сообщаем здесь, компании часто помогают друг другу улучшать свои системы безопасности, делясь уязвимостями нулевого дня, обнаруженными исследователями безопасности. Google, например, делает это очень часто. Но недавно сотрудник Apple, как сообщается, обнаружил уязвимость нулевого дня в Google Chrome – и эта ошибка так и не была сообщена Apple этим человеком.

Apple не сообщила Google об уязвимости, обнаруженной в Chrome

Недавнее обновление веб-браузера Google Chrome исправляет уязвимость нулевого дня. И поскольку компании обычно описывают, кто обнаружил уязвимость и как она была устранена, описание этой было несколько интригующим. Это потому, что, по словам сотрудника Google, уязвимость изначально была обнаружена сотрудником Apple.

Точнее, ошибка была обнаружена, когда сотрудник Apple участвовал в соревновании по взлому, известном как «Capture The Flag» (CTF), в марте. Когда была обнаружена, уязвимость была нулевого дня – то есть никто не знал о ней до этого момента. Но хотя Google теперь исправил эту уязвимость, это было не благодаря исследователю безопасности Apple.

«Эта проблема была сообщена sisu из команды CTF HXP, и обнаружена членом отдела безопасности инженерии и архитектуры Apple (SEAR) во время HXP CTF 2022», — написал сотрудник Google в блоге, посвященном платформе Chromium (через TechCrunch).

Отчет TechCrunch получил доступ к каналу Discord, где человек, утверждающий, что является сотрудником Apple, обнаружившим ошибку, сказал, что «не было никакой реальной срочности» для немедленного исправления уязвимости. Человек объяснил, что об уязвимости знала только команда исследователей безопасности Apple, и что она нелегкодоступна в реальном сценарии.

Кроме того, сотрудник заявил, что об уязвимости сообщили Google 5 июня, и что задержка была связана со временем, которое потребовалось нескольким людям для утверждения отчета.

iOS 16.5.1 security exploit | Purple iPhone wallpaper featuring Apple logos and iPhone 14

Что говорят обе компании?

Ни сотрудники, ни Apple, ни Google не прокомментировали ситуацию прессе. Но, конечно, это может привести к некоторому разногласию между командами безопасности обеих компаний. Ранее в этом году Apple поблагодарила Microsoft за обнаружение уязвимости, которая могла привести к обходу защиты целостности системы в macOS.

Исследователи Google Project Zero также часто получают признание за обнаружение уязвимостей нулевого дня на платформах Apple.

Читайте также