Chromeの深刻なバグ、Apple従業員が発見していたが報告せず

 
Googleが提供するWebブラウザ「Chrome」の脆弱性について、Appleの従業員が問題を認識していたにもかかわらず、何らかの理由で報告を見合わせていたことが分かりました。このバグはすでに修正されています。

■3行で分かる、この記事のポイント
1. Chromeに重大な脆弱性が存在していた。
2. Appleの従業員が発見したが報告せず、代わりに別の人物が報告した。
3. バグはすでに対処済。

報奨金は別の人物が受け取った

Googleの従業員が開発者向けのWebフォーラム（Chromium）で明かしたところによると、問題となったChromeのバグは、2022年に開催されたハッキング大会（HXP CTF 2022）にチームで参加していた、Appleのセキュリティエンジニアが発見したそうです。
 
しかし何らかの理由によって、COPYと名乗るこのチームは報告を見合わせていたことが判明しました。結果としてバグは発見者とは関係ない、別のチームによって報告され、彼らが1万ドル（約140万円）の報奨金をGoogleから受け取りました。

Appleは回答を拒否

ハッカーがバグを発見することは珍しくありませんが、これだけ話題となっているのは、このバグがゼロデイ脆弱性だったことです。
 
ゼロデイ脆弱性とは、悪意のある攻撃者に利用されかねないバグに対して、アプリやOSを提供している側が気づいていない状態を意味しており、一般的にはセキュリティ上の致命的な欠陥だと考えられています。
 
Appleのエンジニアがいかなる理由で報告しないことを選んだのかは不明です。ニュースサイトTechCrunchの取材に対し、GoogleはAppleに尋ねるよう述べましたが、Appleは回答を拒否しました。
 
 
Source:TechCrunch,Chromium
(kihachi)