ウィリアム・ギャラガー
· 2分で読めます
Google Chromeアイコン
Apple の従業員が Chrome の非常に小さなバグを発見し、すぐに報告しましたが、それでも Google は遅すぎたと主張し、賠償金は支払わないとしています。
Appleのバグ報奨金プログラムは意地悪だとも言われています。3月に開催された「キャプチャー・ザ・フラッグ」(CTF)ハッキングコンテストで、Appleの従業員がGoogle Chromeに未知のバグを発見しました。
TechCrunchによると、その後、テストして報告するという手順に従ったそうです。
「根本原因を突き止め、エクスプロイト(概念実証)を書き、修正可能なように問題を書き上げるのに、フルタイムで2週間かかりました」と、最初の発見者を名乗る TechCrunchフォーラムのメンバーは書いている。
「6月5日に会社を通じて報告されました」と担当者は続けた。「確かに遅れましたが、それにはいくつか理由があります。まず責任者を探し、報告書に担当者の承認を得る必要がありましたが、その責任者は[不在]でした」
ガリレオという名前でフォーラムにコメントした投稿者は、「実際には緊急性はなかった」と付け加えた。
「それに気づいていたのはあなたと私のチームだけで、実際のシナリオではこの問題はそれほど大きなものではないと思われます」と、彼または彼女は続けました。「(Android では動作しませんが、Chrome GUI が数秒間フリーズするのでかなり目立ちます)。」
しかし、このApple社員がバグを報告する前に、別の人物がバグを報告していました。その匿名の人物はGoogleに対し、バグは発見できなかったものの、CTFコンテストに参加していたため、確実に報告してもらいたいと明言しました。
この人物は、自分が発見していないと主張したにもかかわらず、Googleから1万ドルの賠償金を受け取りました。Googleのバグ報告では、同社は「この件について、当社への説明方法に一部相違点があることを承知しております」と記しています。
「この問題の報告者から、問題番号1451211の報告者が、今回の報告につながった最初の発見において重要な役割を果たしていたことが判明しました」と報告書には記されています。「報告者に関する情報を受け取った時点で、ここに謝辞を記載し、この問題のセキュリティ修正/リリースノートにも記載させていただきます。」
「それ以外に、他に何らかの措置を講じる必要はないと考えています」とGoogleは続ける。「この特典を再発行する予定はありません。」
伝えられるところによると、Google は最初の報告の後、発見者が詳細を提供する前にゼロデイバグを修正したという。
この特定のバグは極めて軽度だったと報告されていますが、2022年全体では、Google Chromeがセキュリティ問題に対して最も脆弱なブラウザであることが判明しました。
