当サイトでもたびたびお伝えしているように、テクノロジー企業がセキュリティ研究者によって発見されたゼロデイ脆弱性を共有することで、セキュリティシステムの改善に協力し合うことはよくあることです。例えばGoogleはこれを頻繁に行っています。しかし最近、Appleの従業員がGoogle Chromeでゼロデイ脆弱性を発見したと報じられました。しかも、そのバグはAppleに報告されていませんでした。

AppleはChromeで発見された脆弱性についてGoogleに報告しなかった

Google Chromeウェブブラウザの最近のアップデートで、ゼロデイ脆弱性が修正されました。企業は通常、脆弱性の発見者とその修正方法について説明を行いますが、今回の脆弱性の説明は少々興味深いものでした。Googleの従業員によると、この脆弱性は元々Appleの従業員によって発見されたとのことです。

より具体的には、このバグはApple社員が3月に「キャプチャー・ザ・フラッグ」（CTF）と呼ばれるハッキングコンテストに参加していた際に発見されました。発見当時、この脆弱性はゼロデイ脆弱性であり、つまりその瞬間まで誰も気づいていませんでした。しかし、Googleは現在この脆弱性を修正していますが、Appleのセキュリティ研究者の協力によるものではありません。

「この問題はCTFチームHXPのsisuによって報告され、HXP CTF 2022中にApple Security Engineering and Architecture（SEAR）のメンバーによって発見されました」とGoogleの従業員はChromiumプラットフォーム専用のブログに書いている（TechCrunch経由）。

TechCrunchの取材チームは、バグを発見したApple社員を名乗る人物がDiscordチャンネルにアクセスしたところ、この脆弱性を直ちに修正する必要性は「実際にはなかった」と発言していました。この人物は、この脆弱性についてAppleのセキュリティ研究チームだけが知っており、現実世界では容易にアクセスできないと説明しました。

さらに、この従業員は、この脆弱性が Google に報告されたのは 6 月 5 日であり、遅延の原因は複数の人が報告書に署名するのに時間がかかったためだと主張した。

両社はどのようなコメントを出しているのでしょうか?

従業員、Apple、Googleのいずれも、この件について報道機関にコメントをしていません。しかし、当然ながら、これは両社のセキュリティチーム間で意見の相違を生む可能性があります。Appleは今年初め、macOSのシステム整合性保護をバイパスする可能性のある脆弱性を発見したMicrosoftに感謝の意を表しました。

Google Project Zero の研究者は、Apple プラットフォーム上でのゼロデイ脆弱性の発見でも評価されることが多い。

こちらもご覧ください

• iOS 14のエクスプロイト、スパイウェア、そしてその背後にいる謎のグループに関する詳細がレポートで明らかに
• 知っておくべき5つの重要なiPhoneセキュリティ機能

havebin.com を Google ニュース フィードに追加します。