Google 近日修復了一名蘋果員工在 Chrome 中發現的零日漏洞，但新聞點不在那個零日漏洞，而是在於這個 bug 被發現的過程挺奇葩的。

根據 Google 一位員工聲稱，這漏洞是蘋果公司一名員工在今年 3 月參加奪旗駭客大賽（Capture The Flag，CTF）時發現的，但這名員工不知何故並沒有報告這個漏洞，該漏洞在當時還屬於零日漏洞，這代表 Google 也不知道這漏洞的存在，所以也沒有發布任何補丁。

而報告了該漏洞的，是另一個人也有參賽的人。可是他們實際上並沒有「親自發現」該漏洞。

「這個問題是由 CTF 團隊 HXP 的 sisu 報告的，並由蘋果安全工程和架構（SEAR）的一名成員在 HXP CTF 2022 期間發現。」該 Google 員工寫道。

科技媒體《TechCrunch》之後在一個 Discord 頻道中看到一名自稱是最初發現該零日漏洞蘋果員工、名叫 Gallileo 的使用者解釋為何他們沒有立即報告這項漏洞。他說道，他花了兩周的時間全天工作來找出這個漏洞的原因，寫出一個演示這個漏洞的程式碼，並寫出一個問題描述，以便 Google 修復這個問題。

Gallileo 寫道，「漏洞是在 6 月 5 日通過我所在的公司報告的。是的，時間比較晚，原因有很多。首先，我必須找到負責處理此類問題的人，然後報告必須得到批准，而負責處理問題的人當時不在。Google 決定盡快修復這個問題是件好事，但我認為情況並沒那麼緊急。只有你們（Google）和我的團隊（蘋果）知道這個問題，而且這個問題在現實世界中可能並不是那麼嚴重。」

根據 bug 報告，該漏洞已於 3 月 29 日修復。結局是，儘管 Gallileo 解釋了這麼多，但 Google 決定向報告漏洞的人（而不是發現漏洞的人）頒發 10,000 美元的漏洞獎勵。

：Jocelyn

！