苹果员工在CTF大赛发现谷歌0day秘而不报 $10000赏金由他人获得

谷歌在官方漏洞报告中提到，修复了由苹果员工找到的一个 Chrome 0day 漏洞。虽然漏洞本身并非新闻，但该漏洞的发现和报告过程有点奇特。最终，谷歌将1万美元赏金发给了报告该漏洞的人，而非这名发现该漏洞的苹果员工。

谷歌的一名员工提到，该漏洞最初是由苹果公司的一名员工在参加3月份HXP CTF大赛时发现的，但这名员工并未立即报告当时还是 0day 状态的漏洞，而是由另外一名同样参加该大赛但并未发现该漏洞甚至并不在发现该漏洞所在团队的其他人报告的。

谷歌员工写道，“该漏洞由 CTF 团队 HXP 的成员 sisu 报告，由苹果安全工程和架构 (SEAR) 成员在 HXP CTF 2022 大赛期间发现。”

认为紧急度不高

声称是最初发现该漏洞的这名苹果员工在一个 Discrod 频道中进行了解释，尤其说明了为何未立即报告该漏洞的原因。这名昵称为 Gallileo 的苹果员工在7月6日回应 Sisu 称，“我花了两周的时间研究根因，编写PoC 和 writeup，以便漏洞被修复。我所在的公司在6月5日报告了该漏洞。报送时间确实晚了，原因很多。首先我必须找到负责的人，报告必须得签字。虽然Chrome 决定尽快修复值得赞扬，但我认为紧急程度没有那么高。只有你和我的团队知道这个漏洞，而这个问题在现实生活中很可能并没有那么严重（不适用于安卓，它冻结了 Chrome GUI 几秒的时间，因此很容易看到）。”

Gallileo、Sisu、苹果公司均未就此事置评。

谷歌的发言人 Ed Fernandez 提到，“我们的理解在漏洞报告中已发布。我们建议向苹果公司了解更多详情。”

参与CTF大赛的意大利团队 mhackeroni 的成员 Filippo Cremonese 提到，CTF 团队和CTF 参与人员在大赛中找到 0day 漏洞并不罕见，尤其是在这类“高级别”大赛中更是如此。

他人报送并获赏金

在3月26日发布的最初报告中，报告该漏洞的研究员提到该漏洞是由 COPY 团队在 HXP 组织的一次CTF 大赛中发现的。报告提到，及时并非自己团队发现的这个漏洞，但由于“无法百分之百确认是否已报送给 Chromium 团队”，因此决定报送该漏洞，“我希望是安全的。”

谷歌员工提到，“这个问题是你披露的且没有和别人重复，似乎发现该漏洞的团队决定不向我们披露？”

该漏洞报告提到，漏洞在3月29日修复，谷歌决定向报告人发放1万美元的赏金。当然，赏金也未发给发现该漏洞的苹果员工。

题图：Pexels License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~