تقول جوجل إن موظف شركة آبل عثر على يوم صفر لكنه لم يبلغ عن ذلك

حددت Google يوم صفر في Chrome تم العثور عليه بواسطة موظف Apple ، وفقًا للتعليقات الواردة في تقرير الخطأ الرسمي. في حين أن الخطأ نفسه لا يستحق النشر ، فإن ظروف كيفية العثور على هذا الخطأ وإبلاغ Google به ، على أقل تقدير ، غريبة.

وفقًا لأحد موظفي Google ، تم العثور على الخطأ في الأصل بواسطة أحد موظفي Apple الذي كان يشارك في مسابقة قرصنة Capture The Flag (CTF) في مارس. لكن هذا الموظف في Apple لم يبلغ عن الخطأ ، والذي كان وقتها صفرًا – مما يعني أن Google لم تكن على علم بالخطأ ولم يتم إصدار تصحيح حتى الآن. بدلاً من ذلك ، تم الإبلاغ عن الخطأ من قبل شخص آخر شارك أيضًا في المسابقة ، ولم يعثر في الواقع على الخطأ بنفسه ، ولم يكن حتى في الفريق الذي اكتشف الخطأ.

كتب موظف Google: “تم الإبلاغ عن هذه المشكلة بواسطة sisu من فريق CTF HXP واكتشفها أحد أعضاء Apple Security Engineering and Architecture (SEAR) خلال HXP CTF 2022”.

من غير الواضح سبب عدم إبلاغ موظف Apple عن الخطأ في مارس.

لم ترد شركة آبل على طلب للتعليق.

قال المتحدث باسم Google ، إد فيرنانديز ، لموقع TechCrunch في رسالة بريد إلكتروني “إن فهمنا عام في الخطأ.”

“نحن [recommend] التواصل مع Apple للحصول على أي تفاصيل أخرى ، “كتب فرنانديز.

لم يكن موقع TechCrunch قادرًا على إيجاد طريقة للاتصال بفريق CTF – المسمى COPY – الذي وجد أعضاؤه الخطأ في الأصل ، ولا الشخص المسمى sisu.

ليس من غير المألوف أن تجد فرق CTF ولاعبي CTF صفر أيام خلال المنافسات ، خاصة في التحديات من هذا النوع والمسابقات “البارزة” ، وفقًا لفيليبو كريمونيزي ، الباحث الذي يشارك في مسابقات CTF مع الفريق الإيطالي. ماكروني، والذي قد يكون بالمناسبة أفضل اسم لفريق قراصنة على الإطلاق.

ما يجعل قصة هذا الخطأ مثيرة للاهتمام هو أنه اكتشفه على ما يبدو أحد موظفي Apple في أحد منتجات Google ، ولسبب ما قرر موظف Apple عدم الإبلاغ عن الخطأ.

في التقرير الأصلي الصادر في 26 مارس ، قال الشخص الذي أبلغ عن الخطأ أنه تم العثور على الخطأ بواسطة شخص ما في فريق COPY خلال CTF التي نظمها الفريق XHP. قال الشخص ، الذي لم يتم الكشف عن اسمه في التقرير ، إنهم قرروا الإبلاغ عن ذلك حتى لو لم يجدوه بأنفسهم لأنهم “لم يكونوا متأكدين بنسبة 100٪ من أنه تم إبلاغ فريق الكروم”.

كتب الشخص “لذلك أردت أن أكون آمنًا”.

“نظرًا لأنك الشخص الذي يكشف عن هذه المشكلة ولا توجد نسخ مكررة ، يبدو أن الفريق الذي اكتشف هذه المشكلة قد اختار عدم الكشف عنها لنا؟” كتب موظف Google في تعليق آخر على تقرير الخطأ.

تم إصلاح الخلل في 29 مارس ، وفقًا لتقرير الخطأ. قررت Google منح 10000 دولار كمكافأة خطأ إلى الشخص الذي أبلغ عنها ، والذي ، مرة أخرى ، لم يكن هو الشخص الذي وجدها.