昨日、年次カンファレンス「Pwn2own」に集まったセキュリティ研究者たちが、Safariに2つのゼロデイ脆弱性を発見しました。2つのチームは発見したバグを悪用してmacOSのルートアクセスに成功しましたが、3つ目の試みは失敗しました。
11 チームが総額 100 万ドルの賞金をかけて競い合っており、これまでの 10 回の試みのうち 3 回は Safari をターゲットにしています…
Chaitin Security Research Lab は、6 つの個別のバグを悪用して macOS のルート権限を昇格するエクスプロイトを連鎖的に作成し、35,000 ドルの賞金を獲得しました。
サミュエル・グロス氏とニクラス・バウムスターク氏は、5つのバグを悪用して2016年型MacBook Proのタッチバーにメッセージを表示し、2万8000ドルを獲得した。
両方の脆弱性の詳細は Apple に提供され、バグが公開される前に修正できるようになります。
会議と競技は今日も続くが、目標はまだ発表されていない。
Safariはこのコンテストで頻繁に標的にされており、最も恥ずべき成功例は2011年のSafari 5.0.4に対するものでした。フランスのセキュリティ企業Vupenは、わずか5秒でブラウザの脆弱性を悪用し、MacBook Airのルートアクセスを取得し、賞金としてマシンを獲得しました。2014年には、あるチームがiOS版Safariの2つのバグを悪用してiPhone 5sの制御権を奪取することに成功しました。また、別のチームはMacのルートアクセスを取得しましたが、OS Xのセキュリティは他のプラットフォームよりも優れていると指摘しています。
vemarb.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
