Google a corrigé un zero-day dans Chrome qui a été trouvé par un employé d’Apple, selon les commentaires du rapport de bogue officiel. Bien que le bogue lui-même ne soit pas digne d’intérêt, les circonstances dans lesquelles ce bogue a été trouvé et signalé à Google sont, pour le moins, particulières.
Selon un employé de Google, le bogue a été initialement découvert par un employé d’Apple qui participait à un concours de piratage Capture The Flag (CTF) en mars. Mais cet employé d’Apple n’a pas immédiatement signalé le bogue, qui à l’époque était un jour zéro, ce qui signifie que Google n’était pas au courant du bogue et qu’aucun correctif n’avait encore été publié. Le bogue a plutôt été signalé par quelqu’un d’autre qui a également participé au concours, n’a pas trouvé le bogue lui-même et ne faisait même pas partie de l’équipe qui a trouvé le bogue.
« Ce problème a été signalé par sisu de l’équipe CTF HXP et découvert par un membre d’Apple Security Engineering and Architecture (SEAR) lors de HXP CTF 2022 », a écrit l’employé de Google.
Après la première publication de cette histoire, TechCrunch a consulté une chaîne Discord où quelqu’un prétendant être l’employé d’Apple qui a initialement trouvé le jour zéro a expliqué sa version de l’histoire, en particulier la raison pour laquelle il n’a pas signalé le bogue immédiatement, en réponse à Sisu, la personne qui a signalé le bogue à Google.
« Il m’a fallu 2 semaines de travail à plein temps pour trouver la cause racine, écrire [the] exploiter [Proof of Concept] et rédigez le problème de manière à ce qu’il puisse être résolu », a écrit la personne, qui passe par Gallileo, le 6 juillet.
« Cela a été signalé le 5 juin, par l’intermédiaire de ma société. Oui, il était tard, il y a plusieurs raisons à cela. Je devais d’abord trouver la personne responsable, le rapport devait être signé par des personnes, puis la personne responsable était OOO. Il est louable que Chrome ait décidé de le réparer dès que possible, mais je pense qu’il n’y avait pas vraiment d’urgence. Seuls vous et mon équipe en étiez conscients et le problème n’est probablement pas si grave dans un scénario réel (ne fonctionne pas sur Android, assez visible car il gèle l’interface graphique de Chrome pendant quelques secondes) », a écrit Gallileo.
Gallileo et Sisu n’ont pas répondu à une demande de commentaire.
Apple n’a pas répondu à une demande de commentaire.
Le porte-parole de Google, Ed Fernandez, a déclaré à TechCrunch dans un e-mail que « notre compréhension est publique dans le bogue ».
« Nous vous recommandons de contacter Apple pour plus de détails », a écrit Fernandez.
Il n’est pas rare que les équipes de la CTF et les joueurs de la CTF trouvent des zero-days lors des compétitions, en particulier dans les défis de ce type et les compétitions « de haut niveau », selon Filippo Cremonese, un chercheur qui participe aux compétitions de la CTF avec l’équipe italienne. mhackeroniqui est peut-être le meilleur nom d’équipe de hackers de tous les temps.
Ce qui rend l’histoire de ce bogue intéressante, c’est qu’il a apparemment été trouvé par un employé d’Apple dans un produit Google et, pour une raison quelconque, cet employé d’Apple a décidé de ne pas signaler le bogue.
Dans le rapport original du 26 mars, la personne qui l’a signalé a déclaré que le bug avait été trouvé par quelqu’un de l’équipe COPY lors d’un CTF organisé par l’équipe HXP. La personne, dont le nom n’est pas divulgué dans le rapport, a déclaré qu’elle avait décidé de le signaler même si elle ne l’avait pas trouvé elle-même, car elle n’était « pas sûre à 100% que cela ait été signalé à l’équipe du chrome ».
« Alors je voulais être en sécurité », a écrit la personne.
« Puisque c’est vous qui divulguez ce problème et qu’il n’y a pas de doublons, il semble que l’équipe qui a découvert ce problème ait choisi de ne pas nous le divulguer ? » l’employé de Google a écrit dans un autre commentaire au rapport de bogue.
Le bogue a été corrigé le 29 mars, selon le rapport de bogue. Google a décidé d’attribuer 10 000 $ en prime de bogue à la personne qui l’a signalé, qui, encore une fois, n’est pas celle qui l’a trouvé.
MISE À JOUR, 20 juillet, 14 h 30 HE : cette histoire a été mise à jour pour inclure les messages Discord publiés par la personne qui prétend avoir trouvé le bogue à l’origine.
En savoir plus sur TechCrunch :