Chromeに重大なゼロデイ脆弱性?発見者はGoogleに内容を伝えず 19
ストーリー by headless
発見 部門より
発見 部門より
eggy 曰く、
グルジアのセキュリティー研究者、Ucha Gobejishvili(longrifle0x)氏はリモートからコードを実行可能なGoogle Chromeの重大なゼロデイ脆弱性を7月に発見したと主張している。しかし、詳細をGoogleには伝えておらず、11月24日にニューデリーで開催されるマルウェアカンファレンス「MalCon」で行うデモで詳細を明らかにするとのこと(The Security Ledgerの記事、 MalConによるUcha Gobejishvili氏のプロフィール、 本家/.)。
脆弱性はChromeのDLLに存在し、悪用するとリモートからマルウェアをダウンロードして実行させることが可能となる。MalConでのデモはWindowsを使用するが、ほかのOSでも同様の操作が可能だという。Gobejishvili氏によれば非常に危険な脆弱性であり、デモ後にソースコードを公開することはないとしている。Googleは過去にGobejishvili氏とコンタクトをとったことはあるが、今回の件については何も聞かされていないとし、24日のデモを待つしかないようだ。Chromeの脆弱性発見に対して多額の賞金を用意しているGoogleに知らせず、他のセキュリティー企業に売るわけでもないGobejishvili氏の意図は不明とのことだ。
多額は多額だけど (スコア:3, 興味深い)
6万ドルの賞金だとこのレベルの人だと普通に働いても給料数ヶ月分、応じない人がいておかしい額ではないですねー。
Gobejishvili氏の意図 (スコア:2)
売名行為か転職活動じゃねーの?
クラック [zone-h.org]は昨年卒業したみたいだけど。
モデレータは基本役立たずなの気にしてないよ
Re:Gobejishvili氏の意図 (スコア:1)
信頼できるのか?
iPSの森口なんたらみたいなんじゃね?
Re: (スコア:0)
カンファレンスまでにこの脆弱性を潰す、または見つければ、一気に有名になれそうですね。
処罰できないんだろうか (スコア:0)
日本だったら、実際のアタックが発生した時点で不正指令電磁的記録作成等幇助で処罰できそうだけど。
Re:処罰できないんだろうか (スコア:2)
アクセスが発生しなくても何らかの罪状を用意して逮捕しそうです。処罰まで行かなくても充分効果があるのでその先はわかりませんけど。
Re:処罰できないんだろうか (スコア:1)
虫でもわいてるんじゃないのか?
# あ、バグなのでわいてるのか
Re: (スコア:0)
ちゃんと読めよ
Re: (スコア:0)
ちゃんと読め!
Re: (スコア:0)
まさか待っているとか(スコア:-1,荒らし) (スコア:0)
脆弱性に関する情報ではなく自身に金を出す(=雇用する)といってくることとか、
自身が発見した脆弱性を利用したウィルスの出現とか。
Re:まさか待っているとか(スコア:-1,荒らし) (スコア:1)
デモの瞬間、世界のChrome搭載端末からジングルベルが鳴り響く。
と、開催日がもう1ヶ月先なら妄想できたんだけど。
続報を読んでみました。
http://forums.browserfame.com/20121126/malcon-2012-update/ [browserfame.com]
によると、Ucha氏は本番を欠席、理由は寸前に軍に徴兵されたからとのこと。(和訳合ってるかな)
主催者によると、Javaの脆弱性を使ってChromeを操る内容を予定していたと。
Chromeって使っていないんだけど、JVMが必要なのでしょうか。それともJavaプラグインとかが突破口にされたということなのでしょうか。
賞金があるからこそ (スコア:0)
賞金を貰わない俺かっこいい みたいな人は出てくるんじゃないかと。
実際こうやって有名になってるわけだし。
Re: (スコア:0)
有名になっても名前は覚えられないだろうな。
動画 (スコア:0)
タレコミの動画の意味が分からない。
何してるのこれ。今回の件とは直接関係ないの?
Re:動画 (スコア:3)
これがPuTTYでなく邪悪なマルウェアだったら死亡といいたいんでしょ。
Re: (スコア:0)
PuTTYが起動できるなら、PuTTYでポート転送できるから中継器にされるね。
PuTTYが起動出来るだけでも十分脅威だよ。
まぁPuTTYの窓は丸見えだけど。
Re: (スコア:0)
Chromeで開くと脆弱性を突かれるんですよきっと。
単純に (スコア:0)
単純にカンファレンスに出して評価してもらいたいだけなんじゃ?