Google 表示蘋果員工發現一個零時差漏洞卻沒有回報

事件

根據Google官方的錯誤報告中的評論，他們修復了一個由蘋果員工發現的 Chrome 零時差漏洞(*註1)。

儘管漏洞本身並沒有甚麼特殊，但是如何被發現並報告卻有點奇特。

據一名Google員工表示，這個漏洞最初是由一名蘋果員工在去年三月參加一場Capture The Flag（CTF）駭客競賽中發現的。

然而，該蘋果員工並沒有立即報告這個漏洞，當時這個漏洞是一個零時差漏洞 – 這表示著谷歌並不知道這個漏洞的存在，也還沒有發布任何修補程式。

反而是另一個參加比賽的人報告給Google的，但那個人卻不是發現者，甚至不是同團隊的 !

那就究竟是為什麼呢?

Google 員工 : 這個問題是由CTF團隊HXP的sisu報告的，並且在2022年HXP CTF比賽期間被蘋果安全工程與架構（SEAR）的一名成員發現。

新聞發布後，TechCrunch 團隊(原文的社群) 找到了一個discord頻道。在那個頻道裡，有一位自稱是最早發現這個漏洞的蘋果工程師解釋了為什麼沒有及時通報的原因。

自稱的蘋果工程師這麼說 :

「我花了兩周的時間編寫證明及驗證報告。 這個問題在 6月5號的時候才透過我的公司(蘋果)回報，確實報告的有點晚。但首先，報告都需要找到負責人，而湊巧，負責人剛好不在。

但我不認為存在甚麼緊急的情況，因為這個漏洞只有我的團隊及通報者知道，而且這個漏洞可能不是這麼的嚴重。」

根據漏洞報告，這個漏洞於 3 月 29 日被修復。谷歌決定向報告者發放 10,000 美元的漏洞獎金，而這位報告者，再次強調一下，並不是發現漏洞的那個人。

結論

本來今天一早起床看到這篇外國新聞，多麼聳動的標題! 立刻排入了待翻譯清單裡面。

還以為是蘋果與Google的愛恨情仇，某方的高層硬壓著漏洞不回報這樣…

沒想到越翻越不對勁，就只是晚了點回報上去 (有跟大一點的企業合作過就知道，內部效率真的有夠差…)

不過蘋果該工程師的資安意識好像有點奇怪，零時差漏洞很多時候造成巨大破壞就是因為廠商根本不知情，故發生當下也不一定能馬上做出對應 ( 儘管他可能認為該漏洞沒人知道也不算嚴重) 。

但頭都洗一半了，還是咬牙翻完了

話說，要是蘋果工程師不整理並通報蘋果官方直接告訴Google的話，就有1W美金欸!!!

*註1 : 什麼是零時差漏洞 (Zero-Day Vulnerability)? 有哪些漏洞攻擊手法? – 資安趨勢部落格 (trendmicro.com.tw)

文章主要來源 : Google says Apple employee found a zero-day but did not report it | TechCrunch

一些隨機文章