多數科技公司研究員發現其他廠商零日漏洞時,會報告對方以協助改善安全系統,但外媒報導,某蘋果員工發現 Google Chrome 零日漏洞,卻一直沒向蘋果或 Google 報告。
Google Chrome 瀏覽器最新更新修復一個零日漏洞,多數情況更新描述會註明誰發現,如何修復。Google 這次更新有個有趣描述:「這問題是由參加 CTF(Capture The Flag)競賽的 sisu 報告,不過漏洞是由蘋果安全工程與架構(SEAR)成員參加 CTF 競賽時發現。」
這漏洞是 3 月蘋果員工參加 CTF 駭客競賽時發現,當時漏洞仍是零日漏洞(意味那刻前都沒人注意到)。雖然 Google 已修復漏洞,但功勞並不是發現漏洞的蘋果研究員。
《TechCrunch》報導,漏洞是由其他參加 CTF 競賽的 sisu 報告,但 sisu 所屬團隊也沒發現漏洞,甚至跟發現漏洞的蘋果員工不是同隊。
《TechCrunch》查看一 Discord 頻道後發現,自稱一開始發現零日漏洞的蘋果員工解釋,特別提到沒有立即報告錯誤的原因。
Discord 頻道解釋的人名為 Gallileo,7 月 6 日時表示,花了兩週研究這問題的根本原因,利用概念驗證編寫漏洞,並記錄問題以便解決。
Gallileo 指漏洞是 6 月 5 日時透過蘋果報告,報告遲到的原因很多。他解釋需先找到責任人,因報告要有人簽名。值得讚賞的是 Google 很快就解決問題,Gallileo 也認為這漏洞沒有非常急迫。
Google 錯誤報告顯示,漏洞 3 月 29 日修復。Google 決定給予提出報告的人 1 萬美元獎金,但報告者並非發現者。
(首圖來源:Flickr/Yuri Samoilov CC BY 2.0)
科技新報粉絲團
加入好友
訂閱免費電子報
