Сотрудник Apple нашёл уязвимость в Chrome, но сообщил о ней уже после устранения

Разработчики Google исправили 0-day уязвимость в браузере Chrome, обнаруженную сотрудником Apple в ходе конкурса «белых» хакеров. При этом специалист, обнаруживший уязвимость, не сообщил о ней разработчикам браузера.

Об эксплойте узнали от члена команды «белых» хакеров, тоже участвовавшей в конкурсе, но не имевшей отношения к раскрытию проблемы.

Уже через некоторое время после обнаружения угрозы в Discord пользователь под ником Gallileo представился сотрудником Apple и рассказал, что не замалчивал проблему. По его словам, на документирование уязвимости понадобилось две недели, также ушло время для написания демонстрационного эксплойта, чтобы уязвимость можно было оперативно устранить. Кроме того, Gallileo объяснил, почему не сразу рассказал об уязвимости.

«Похвально, что девелоперы залатали Chrome как можно быстрее, но мне кажется, что не было необходимости в спешке, поскольку в случае реальной кибератаки эксплуатация этой бреши не так проста. Во-первых, эксплойт не работает на Android, во-вторых — затормаживает интерфейс браузера, поэтому эксплуатация не проходит незамеченной», — рассказал специалист.