Pwn2Own 2015終了、主要ウェブブラウザやプラグインが突破される 11
ストーリー by hylom
脆弱性ハンターで生きていける賞金 部門より
脆弱性ハンターで生きていける賞金 部門より
ハッキングコンテストPwn2Ownで、Internet ExploerおよびFirefox、Google Chrome、Safariにセキュリティ脆弱性が発見された(TechCrunch、ITmedia)。
Pwn2Ownは広く使われているソフトウェアの脆弱性を付いて攻撃を行うコンテスト。近年はWebブラウザなどがターゲットとされることが多く。今年はInternet ExplorerやFirefox、Adobe Flash、Adobe Reader、Safari、Google Chromeなどがターゲットとなっていた。発見された脆弱性についてはベンダーに報告され修正が行われることになっており、たとえばFirefoxでは23日に修正版がリリースされている)。
なお、今回Chromeの脆弱性を発見したJungHoon氏には11万ドル(約1300万円)の賞金が贈られたという。JungHoon氏はSafariやIE 11のバグ発見にも貢献しており、合計で22万5000ドル(約2700万円)を稼いだという。
破られ過ぎ (スコア:1)
みんな脆弱性見つけても賞金の出るイベントまで寝かせてるでしょ…。
Re: (スコア:0)
ガチの悪者はイベントなんか出ずに闇商売で使うでしょ
そりゃそうでしょ (スコア:0)
こういうイベントで稼いで食ってるプロなんだから当たり前でしょ。
Re: (スコア:0)
今は脆弱性を見つけるにも金かかる時代ですからね。EC2あたりでfuzzingするのが今の主流といえるはず。
Re: (スコア:0)
良い時代になったなぁ
about:<script>~
のリンクでローカル権限実行できていた時代には
考えられないくらいの高額報償だ
# そのころよりはかなり複雑になっているけれど
Re: (スコア:0)
TechCrunchに下記のようにあるので、そのまんま、事前に発見していた脆弱性を披露したということですね。
挑戦者は、自分がまだ触ったことのないマシンの上で30分の時間を与えられる。各マシンの上のオペレーティングシステムは、完全にセキュリティパッチが当てられている。というよりバグは数日間/数週間にわたる調査研究の結果見つけたものであり、当日のわずか30分で見つけるというものではない。
Re: (スコア:0)
がちで見つけるより自分で出したパッチにこっそり仕込んでおいて後で修正するようなずるい方法もできるから、
そっちの可能性も大。
Re: (スコア:0)
サイバーテロリストが金稼げるのか
IE with EMETは? (スコア:0)
去年か一昨年のイベントでEMETで保護されたIEは誰も破れなかったって
ニュースになってましたけど今年はどうなんでしょうね?
元記事には記載がないようですが。
まあ、EMET含めるなら他のブラウザもEMET付きでやらないとフェアじゃない気もしますが、
EMETのデフォルトだとIE以外のブラウザは保護されないので。
一般的に使用されるブラウザ環境と言う意味ではIE&EMETを一つの環境として数えるのは有りな気がします。
Re: (スコア:0)
去年そうだったから今年はやらなかった、とか?
EMETの走ってない環境が依然として存在する以上、
イベントとしては余計な縛りなのかもしれませんね。
Firefoxは通常運転 (スコア:0)
Firefox 36.0.4のリリースは、23日ではなく21日(日本時間では22日かも)ですね。
http://news.mynavi.jp/articles/2012/09/04/firefoxsafety/ [mynavi.jp]