中国でハッキング大会が開催。主要OSやブラウザ、仮想環境で脆弱性が見つかる 70
ストーリー by nagazou
恐るべし 部門より
恐るべし 部門より
中国成都市で今月の7日と8日の二日間にわたってハッキングコンテスト「天府杯 2020(Tianfu Cup 2020)」が開催された。このコンテストでは34の国際チームが参加し、数百万ドルの賞金をかけてテクニックを競い合ったという。ターゲットにされた16の製品のうち、下の11の製品がこれまでにないエクスプロイトによって攻略されたとしている(四川オンライン、Tianfu Cup公式Twitter、ZDNet、窓の杜)。
- Google Chrome
- Safari
- Firefox
- Adobe PDF Reader
- Docker CE
- VMware EXSi
- Qemu
- CentOS 8
- iPhone 11 Pro(iOS 14)
- Galaxy S20
- Windows 10 バージョン 2004
- TP-Link製のルーター
- ASUS製のルーター
優勝したのは、中国のテクノロジー大手である奇虎360(Qihoo 360 Technology)所属の「360 ESG Vulnerability Research Institute」チーム。このチームは賞金総額121万ドル(約1億2500万円)のうち、74億4500ドル(約7700万円)を獲得することに成功したそうだ。審判チーム代表の鄭文濱氏は、iPhone 11 Pro(iOS 14)やGoogle Chrome、Docker CEなどの複数のプロジェクトで、世界初のブレークスルーを達成したことは注目すべきことだと話している。
あるAnonymous Coward 曰く、
https://japan.zdnet.com/article/35162119/
https://forest.watch.impress.co.jp/docs/news/1288055.html
多彩な対象にハックを成功させていて、今や普通にIT先進国ですね。
賞金 (スコア:1)
>賞金総額121万ドル(約1億2500万円)のうち、74億4500ドル(約7700万円)
74万4500ドルですね
Re: (スコア:0)
ジンバブエドルかも
ZDNETも窓の杜も(そしてスラドも)誤った情報を掲載していますね (スコア:1)
どっちじゃん?とTianfuCupのTweetを見ると、Ubuntu 20.04 / CentOS 8 と表示された画像が。
両方共だったのですね。
Re: (スコア:0)
「どっちじゃん?」ってどういう意味なの?
Re: (スコア:0)
私自身は使わない言葉ですが、文章読んだら文脈から理解できました。理解できませんか?
Re: (スコア:0)
理解じゃん?
Re: (スコア:0)
中居君で有名な「じゃん」ですね。自分も使います。注意するようにはしてますが。
この場合、一方の記事はCentOS8、別の記事ではubuntu、「どっちが正しいのですか?」。
答えどっちも正しくない、でした。
Re: (スコア:0)
お前が基準じゃん?
Re: (スコア:0)
わからなくて聞いてる奴に「私はわかりました。わかりませんか?」って返しが理解できない。
Re:ZDNETも窓の杜も(そしてスラドも)誤った情報を掲載していますね (スコア:2)
ホントにわからなかったとは思わんがなあ。
それくらいでひっかかってたら、日常会話に困るレベルやろ。w
Re: (スコア:0)
つまみ読み脳だからだよ、一生治らないと思うけど。
Re: (スコア:0)
コチュジャン
Re:ZDNETも窓の杜も(そしてスラドも)誤った情報を掲載していますね (スコア:1)
豆鼓醤(トウチジャン)の方が近いと思う
Re: (スコア:0)
いわゆる関東弁かとも思ったけど、ちょっと違う?
# 意味は何となく分かる。
Re: (スコア:0)
「〜じゃん」は横須賀方言だったかなぁ。
Re: (スコア:0)
つまり元コメは横須賀方言をばかにして間違った使い方をしてるということですね
Re: (スコア:0)
と思って、Wikipediaで調べてみたところ、どうやら三河地方から東に伝わったようです。
三河弁#終助詞・間投助詞 [wikipedia.org]
Re: (スコア:0)
横浜市出身ですが子供の頃から使っていた気がします。
「どちら(が正しいのか)」の意味の「どっち」に、疑問形(?)の「じゃん?」が付いたイメージですかね。
Re: (スコア:0)
関西の「どっちや(ね)ん」を関東の人間が「じゃん」と類推・混淆させて「どっちじゃん」を作った
てのは容易に推測できる言語学的プロセスなのだけど、スラドの理系さんには難しいのかな
プロセスに興味をもつのでなく、単に正しい正しくないを言われても、方言に正しさの基準は無いのだよ
Re: (スコア:0)
元々CentOSだったのがハッキングされてUbuntuにされてしまった可能性は…ないな
Operaは? (スコア:1)
つかわれた脆弱性はどうするの? (スコア:0)
ベンダーに報告して修正をまつのか、それとも軍や情報機関が買い上げて、
ハッキングやサイバー攻撃に使用するのかどっち?
Re:つかわれた脆弱性はどうするの? (スコア:3, 参考になる)
コンテストの規定に各社に報告する規定があり
それに則って報告してるので悪用は出来んよ
ちゃんと報告されている事の証拠として
Firefox及びThunderbird、Chrome、Chromium Edgeは
コンテストで発見された脆弱性を修正した話が既に出てる
https://forest.watch.impress.co.jp/docs/news/1288678.html [impress.co.jp]
https://forest.watch.impress.co.jp/docs/news/1288167.html [impress.co.jp]
Re: (スコア:0)
報告された以外のほんとにヤバい奴が別枠で情報部にだけ伝えられてそう
Re: (スコア:0)
こういったハッカーのみなさんの努力は難癖つけてるだけのあなたのPCも守るんですよ。
難癖つけていられるのも守られているからです。
Re: (スコア:0)
仏より上にある共産党がコンテスト規定より下だとでも?
Re: (スコア:0)
フランスより上の共産党って一体どこの?
Re:つかわれた脆弱性はどうするの? (スコア:2, 参考になる)
動きが速い(腰が軽い)会社は既に対応しているね
中国のハッキング大会“天府杯 2020”で11製品が攻略、「Firefox」は即座に脆弱性を修正 [impress.co.jp]→Firefox
中国のハッキング大会で「Firefox」の攻略に使われた脆弱性に対処した「Thunderbird 78.4.2」 [impress.co.jp]→Thunderbird
1件の脆弱性を修正 ~デスクトップ向け「Google Chrome 86」にセキュリティアップデート [impress.co.jp]→Google Chrome
中国のハッキング大会で「Chrome」を攻略した脆弱性、「Microsoft Edge」でも修正 [impress.co.jp]→Microsoft Edge
流石に今月の Microsoft Update には入っていなさそう
Docker とか Qemu とかのオープンソース系ももう手を付け始めているか、マージされているんじゃないかな?
Re: (スコア:0)
Re: (スコア:0)
なおNSA
Re: (スコア:0)
アメリカの脆弱性利用は、正義の手段。
中国の脆弱性利用は、邪悪。
Re: (スコア:0)
飛ばないブーメラン頭に刺すのが最近の流行りか
Re:つかわれた脆弱性はどうするの? (スコア:1)
つ 同じ穴の狢
Re: (スコア:0)
トランプが決めたEntity Listってでたらめに近いからな。
YahooとQihoo間違えるなんて、反知性主義の人以外にいるの?
OpenBSD (スコア:0)
やはりセキュリティに関してはOpenBSDが最強である。
Re: (スコア:0)
使用者が少なすぎて狙われにくいものが強いね
OpenBSD/PA-RISCみたいなシステムだと、だれも狙わないのでは?
Re: (スコア:0)
攻撃対象がそれを使ってるとわからない限り無意味になるもんね〜
Re: (スコア:0)
なおDragonflyBSD
日本はもう追いつけない (スコア:0)
これだけの賞金用意して、参加者多数。
短い期間でいっぱい脆弱性みつけられるってのは単純に凄いね。
日本じゃこんな大会開催すらできないだろうし、仮に開催できたとしてもこれだけの結果は出ないだろう。
Re: (スコア:0)
もともとあった情報やプログラムを2日間の間に発表してるだけなんだが
プロレスやリアリティ番組に脚本や事前準備が一歳がないと信じてそう
Re: (スコア:0)
脆弱性を隠し持ってたってこと?
やっぱり中国人は信用しちゃいけないって話なのかな。
マジレスするとこれだけの賞金と参加者を用意できるのは流石というべき。
それに事前に見つけ出していたか、当日見つけ出したかにせよ、実際に見つけていることは凄いといっていいでしょ。
他人を認められないほど滑稽なものはない。
Re: (スコア:0)
餅は餅屋。
脆弱性は犯罪のプロに教えてもらおう。
Re: (スコア:0)
滑稽というか、現実逃避は追いつけないことを追認して悲しくなってくる
Re: (スコア:0)
脆弱性を金にできる構造ができてるんだと思う。
日本じゃ無理、金どころか、犯罪者扱になる
Re: (スコア:0)
悪用したら犯罪だろうけど、ローカルでソフトの脆弱性探すくらい問題なかろうて。
Re: (スコア:0)
日本でも、脆弱性に賞金を出す大会を開いたり、2日間で脆弱性を見つけられる人間がいたりはする。「サイボウズ バグハンター合宿2019」結果発表 12名のバグハンターが2日間で198件の脆弱性を報告、うち155件を認定 [cybozu.co.jp]
規模が小さいんで、追いつけていないということを否定できるほどではないと思うけど。
Re: (スコア:0)
大したことないと言うなら、その大したことない事を日本がやらない(できない?)のが問題でしょう。
Re: (スコア:0)
詳しく知らないけど景品表示法とかで無理でしょ
焦っているか悔しいと思うなら政治家動かして法律変えましょうね
金の問題じゃないけどな
Re: (スコア:0)
つまり元米の意見は正しく、日本じゃ開催すらできないということですね。
脆弱性の記事なのにコメントが多いと思ったら (スコア:0)
方言や右翼左翼や中国共産党について語っていた。