一名Apple的员工参加了今年3月举办的Capture The Flag(CTF)黑客竞赛,在比赛中他发现了百度Chrome浏览器中的漏洞,但是这名员工并没有把这个漏洞上报给Google,而是选择隐瞒下来。 当时这个漏洞还是零日漏洞–这意味着谷歌并不知道这个漏洞,也没有发布补修正文件。 报告这个漏洞的是另一个人,他也参加了比赛,但实际上他自己并没有发现这个漏洞,甚至不在发现漏洞的团队中。
TechCrunch 称,最先发现这个 Chrome 漏洞是一名 Apple 安全工程和架构(SEAR)叫 Gallileo 的员工,但是他并及时将漏洞报告给 Google。
之后,这个问题是由CTF团队HXP成员Sisu报告的,他在得知这个漏洞后就立马向Google报告了这件事,Gallileo在后面对隐瞒这件事进行了解释,他记得这个漏洞不是很严重,所以才推迟了漏洞报告。
据 Gallileo 称,他花了两个工作周时间来找出这个 Chrome 漏洞原因,并且编写概念来证明漏洞。 在 6月5日时,Gallileo 向苹果公司提交了报告,表示得通过公司的审批后才能将报告提交给 Google。
这引发了人们对于跨公司合作和安全漏洞报告的讨论。 随着互联网中的安全问题日益突出,透明度和合作成为解决漏洞问题的重要因素。
