パスワードを忘れた? アカウント作成
11975598 story
セキュリティ

Pwn2Own 2015終了、主要ウェブブラウザやプラグインが突破される 11

ストーリー by hylom
脆弱性ハンターで生きていける賞金 部門より

ハッキングコンテストPwn2Ownで、Internet ExploerおよびFirefox、Google Chrome、Safariにセキュリティ脆弱性が発見された(TechCrunchITmedia)。

Pwn2Ownは広く使われているソフトウェアの脆弱性を付いて攻撃を行うコンテスト。近年はWebブラウザなどがターゲットとされることが多く。今年はInternet ExplorerやFirefox、Adobe Flash、Adobe Reader、Safari、Google Chromeなどがターゲットとなっていた。発見された脆弱性についてはベンダーに報告され修正が行われることになっており、たとえばFirefoxでは23日に修正版がリリースされている)。

なお、今回Chromeの脆弱性を発見したJungHoon氏には11万ドル(約1300万円)の賞金が贈られたという。JungHoon氏はSafariやIE 11のバグ発見にも貢献しており、合計で22万5000ドル(約2700万円)を稼いだという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年03月24日 15時00分 (#2783699)

    みんな脆弱性見つけても賞金の出るイベントまで寝かせてるでしょ…。

    • by Anonymous Coward

      ガチの悪者はイベントなんか出ずに闇商売で使うでしょ

    • by Anonymous Coward

      こういうイベントで稼いで食ってるプロなんだから当たり前でしょ。

      • by Anonymous Coward

        今は脆弱性を見つけるにも金かかる時代ですからね。EC2あたりでfuzzingするのが今の主流といえるはず。

    • by Anonymous Coward

      良い時代になったなぁ
      about:<script>~
      のリンクでローカル権限実行できていた時代には
      考えられないくらいの高額報償だ

      # そのころよりはかなり複雑になっているけれど

    • by Anonymous Coward

      TechCrunchに下記のようにあるので、そのまんま、事前に発見していた脆弱性を披露したということですね。

      挑戦者は、自分がまだ触ったことのないマシンの上で30分の時間を与えられる。各マシンの上のオペレーティングシステムは、完全にセキュリティパッチが当てられている。というよりバグは数日間/数週間にわたる調査研究の結果見つけたものであり、当日のわずか30分で見つけるというものではない。

    • by Anonymous Coward

      がちで見つけるより自分で出したパッチにこっそり仕込んでおいて後で修正するようなずるい方法もできるから、
      そっちの可能性も大。

    • by Anonymous Coward

      サイバーテロリストが金稼げるのか

  • by Anonymous Coward on 2015年03月24日 17時44分 (#2783828)

    去年か一昨年のイベントでEMETで保護されたIEは誰も破れなかったって
    ニュースになってましたけど今年はどうなんでしょうね?
    元記事には記載がないようですが。

    まあ、EMET含めるなら他のブラウザもEMET付きでやらないとフェアじゃない気もしますが、
    EMETのデフォルトだとIE以外のブラウザは保護されないので。
    一般的に使用されるブラウザ環境と言う意味ではIE&EMETを一つの環境として数えるのは有りな気がします。

    • by Anonymous Coward

      去年そうだったから今年はやらなかった、とか?
      EMETの走ってない環境が依然として存在する以上、
      イベントとしては余計な縛りなのかもしれませんね。

  • by Anonymous Coward on 2015年03月25日 10時49分 (#2784291)

    Firefox 36.0.4のリリースは、23日ではなく21日(日本時間では22日かも)ですね。

    Mozillaでは、脆弱性情報が公開された場合、攻撃コードの有無にかかわらず、48時間以内にセキュリティ更新をリリースする体制を整えています。ここまでの対応をしているブラウザは他にないと思います。

    http://news.mynavi.jp/articles/2012/09/04/firefoxsafety/ [mynavi.jp]

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...