AppleInsiderスタッフ
· 1分で読めます
バンクーバーで毎年開催される Pwn2Own ハッキング コンテストの 2 日目に、Safari、Chrome、Firefox、Internet Explorer がすべて不正アクセスされました。
Threatpostによると、韓国のセキュリティ研究者、ジョン・フーン・リー氏がSafariのメモリ使用後の脆弱性を突いて脆弱性を突いた。リー氏はその後、初期化されていないスタックポインタを利用してSafariのサンドボックスを回避し、これらの脆弱性を突いた攻撃で約5万ドルの賞金を獲得した。
火曜日にリリースされたSafari 8.0.4、7.1.4、6.2.4は、リー氏によるメモリ使用後の攻撃がきっかけだった可能性が高い。これらのアップデートは、Yosemite、Mavericks、Mountain Lionのブラウザにセキュリティ修正をもたらしたが、これはまだ確認されていない。Appleは、これらのアップデートでWebKitの「複数のメモリ破損問題」が修正されたと述べている。
一方、Chrome はバッファ オーバーフロー状態によりダウンし、Firefox は境界外の読み取り/書き込みの脆弱性によりダウンし、Internet Explorer はチェック時間から使用時間までの欠陥によりダウンしました。
Pwn2Ownコンテストは、バンクーバーで開催される年次情報セキュリティカンファレンス「CanSecWest」と併せて毎年開催されます。研究者たちは、この会場で数ヶ月前から開発されている新たなエクスプロイトを公開することがよくあります。
Pwn2Ownでは、参加者は30分以内にリモートコード実行を用いてブラウザをエクスプロイトする必要があります。エクスプロイトは、悪意のあるウェブサイトを閲覧する以外、ユーザーからの入力を一切必要とせずに実行されなければなりません。
成功したハッキングには賞金が授与され、大幅な権限昇格を伴うハッキングにはさらに多くの賞金が授与されます。リー氏は2日間のコンテストで合計22万5000ドルの賞金を獲得しました。