fossBytesに3月23日(米国時間)は、「Firefox, Edge, Safari, And Tesla Hacked At Pwn2Own 2019」において、ハッキングコンテストPwn2Own Vancouver 2019の結果を伝えた。
このイベントはセキュリティ研究者らがさまざまなソフトウェアやオペレーティングシステムに対し、脆弱性を突くなどして侵入や乗っ取りといった攻撃が可能であるかどうかを調査するもの。今回はイベント史上初となる自動車部門が登場している。
-
Pwn2Own Vancouver 2019
記事では、主要Webブラウザと自動車に関して主な結果と報奨金を伝えている。紹介されている結果は次のとおり。
- Safari - FluoroacetateチームがSafari乗っ取りに成功。整数オーバーフローとヒープオーバーフローを用いてサンドボックス機能を回避し、ブルートフォースなどを実行した。報奨金は55000米ドル。phoenhexとqwertyチームはJITバグを引き起こしてWebサイト閲覧からSafariの機能停止を実現し、報奨金は4万5000米ドル
- Firefox - FluoroacetateチームがFirefoxの乗っ取りに成功。JITバグを突いて、許可されていない領域のメモリに書き込むを行うことも達成。報奨金は5万米ドル。Niklas Baumstark氏もJITバグを突いた攻撃でハックに成功し、報奨金は4万米ドル
- Microsoft Edge - FluoroacetateチームがMicrosoft Edgeの乗っ取りに成功。VMWareワークステーション上で動作するMicrosoft Edge経由でホストで動作するWindowsホストの破壊に成功。報奨金は13万米ドル。Arthur Gerkis氏が2つのバグを突いてサンドボックス機能の回避に成功、報奨金は5万米ドル
- Tesla - FluoroacetateチームがTesla Model 3の乗っ取りに成功。JITのバグを突いて、Webブラウザに自分たちのメッセージを表示させることに成功し、3万5000米ドルの報奨金とTesla Model 3を獲得した。
Fluoroacetateチームは以前開催されたPwn2Own Tokyoでも多くの攻撃を成功させている。彼らはこのイベントで37万5,00米ドルの報奨金を得たとされている。このイベントを通じて発見された脆弱性はベンダーによる対策に利用されることになっているほか、脆弱性の詳細は90日後に公開される。
Pwn2Ownは報奨金を支払うことでセキュリティ研究者らにソフトウェアなどの脆弱性を発見してもらうことを狙ったイベント。こうしたイベントは世界中で開催されており、脆弱性の発見に関して大きな役割を担っている。
