Google corrige el error de día cero en Chrome descubierto por un empleado de Apple

Google solucionó un error de día cero en su navegador Chrome descubierto por primera vez por los empleados de Apple durante una competencia de piratería reciente. El error en sí no es sorprendente, pero las circunstancias que rodearon su descubrimiento e informe sí lo son.

Según los empleados de Google, el error fue descubierto por un empleado de Apple que participó en el concurso de piratería CTF (Capture the Flag) en marzo. Sin embargo, los empleados de Apple no informaron el error, que era de día cero en ese momento. Esto significa que Google no estaba al tanto de la existencia del error y no se emitió ningún parche. Otros colaboradores finalmente informaron el error a Google, pero ni ellos mismos ni el equipo que lo encontró lo encontraron.

Un Googler detalló la situación en un informe de error oficial.

Todavía no está claro por qué los empleados de Apple optaron por no informar el error en marzo, y Apple no comentó sobre el problema cuando los contactamos para obtener más detalles.

El portavoz Ed Fernandez, en representación de Google, dejó en claro que su comprensión del informe del error era pública y sugirió contactar a Apple para obtener más información. A pesar de sus esfuerzos, el equipo de TechCrunch CTF no pudo comunicarse con “COPY” o “sisu”.

No es raro encontrar vulnerabilidades de día cero en las competencias de CTF, pero la historia de este error en particular es interesante porque un empleado de Apple descubrió un error en un producto de Google y luego decidió no informarlo.

El informe de error original, fechado el 26 de marzo, fue descubierto por un miembro del equipo COPY durante un CTF organizado por Team XHP. El reportero, cuyo nombre no ha sido revelado, decidió reportar el error sin descubrirlo él mismo. Expresó su incertidumbre sobre si el error se informó al equipo de Chromium y dijo “así que quiero estar seguro”.

En respuesta al informe de error, otro empleado de Google comentó sobre la falta de divulgación del equipo de detección de errores y dijo: “No creo que el equipo que encontró este problema haya decidido no divulgarlo porque no hay superposición en la divulgación de este problema”.

Como se indica en el informe de error, Google solucionó el error de inmediato el 29 de marzo. También ofrecieron una recompensa por error de $ 10,000 a cualquiera que informara un error, incluso si no era el inventor original.

Finalmente, Google solucionó un error de día cero en Chrome descubierto por primera vez por los empleados de Apple en el concurso de piratería CTF. Un aspecto interesante de este caso radica en la decisión del empleado de Apple de no reportar el error, que terminó siendo reportado por otro concursante.