平日,科技公司間經常通過分享安全研究員找到的 Zero-Day 漏洞來互相提升他們的系統安全性,Google 很常作出這樣的安排。然而,最近傳出 Apple 的員工竟然在 Google Chrome 中發現了一個 Zero-Day 漏洞,而該員工並沒有向 Apple 報告此漏洞。
最近的 Google Chrome 瀏覽器更新修復了一個 Zero-Day 漏洞。一般情況下,公司會描述誰發現了這個漏洞以及如何修復它,然而這一次的描述相當「引人入勝」。根據 Google 的員工所述,該漏洞原本是由 Apple 的員工找到的。
具體來說,這個漏洞是在 Apple 的員工參加名為 “Capture The Flag” 或 “CTF” 的駭客比賽時被發現的,發現時,該漏洞是一個 Zero-Day 漏洞 —— 意思是在那一刻之前沒有人知道它的存在。然而,雖然 Google 已經修復了這個漏洞,但並不是多虧了 Apple 的安全研究員。
一位 Google 員工在專門討論 Chromium 網誌中寫道:「這個問題是由 CTF 團隊 HXP 的 sisu 報告的,並由 Apple Security Engineering and Architecture(SEAR)的成員在 2022 年的 HXP CTF 中發現的。」
TechCrunch 的報導取得了一個 Discord 頻道的訪問權限,其中一位聲稱是找到該漏洞的 Apple 員工的人說,立即修復該漏洞並無太大必要。這個人解釋說,只有 Apple 的安全研究團隊知道這個漏洞,而且在現實世界中並不容易找到。
該員工還宣稱,該漏洞在 6 月 5 日已報告給 Google,而報告的延遲是由於需要多人對報告進行審核的時間。不論是員工、Apple 還是 Google,都沒有對這個情況對外發表評論。但是,這個事件很有可能在兩家公司的安全團隊之間引起一些分歧。
今年早些時候,Apple 曾經感謝 Microsoft 找到了一個可以繞過 macOS 的系統完整性保護的漏洞。Google 的 Project Zero 研究員也經常因在 Apple 平台上找到 Zero-Day 漏洞而獲讚揚。