Pwn2Own ハッキング コンテスト 1 日目に Safari for Mac で 2 つのゼロデイ脆弱性が発見

第 19 回年次セキュリティカンファレンス CanSecWest がカナダのバンクーバーで開催されており、毎年恒例のハッキング コンテストである Pwn2Own が開催されていますが、 これまでに 2 つのゼロデイ セキュリティ脆弱性が macOS 上の Safari で発見されています 。

コンテストは水曜日にセキュリティ研究者の アマット・カマ氏 と リチャード・ジュー氏が チームを組んでサファリと対戦する形で開幕した。二人はブラウザの悪用に成功し、整数オーバーフロー、ヒープ オーバーフロー、ブルート フォース手法を組み合わせてサンドボックスから脱出し、55,000 ドルを獲得しました。

その日の後半、 Niklas Baumstark 氏、 Luca Todesco 氏 、 Bruno Keith 氏 の 3 人が、カーネル昇格で Safari をターゲットにしました。彼らは完全なシステム侵害を実証しましたが、Apple はデモで使用されたバグの 1 つをすでに知っていたと思われるため、部分的な勝利にすぎませんでした。それでも彼らは45,000ドルの利益を上げました。

Pwn2Own の初日に、参加者には合計 240,000 ドルが授与されました。現在コンテスト2日目が進行中です。コンテスト中に発見されたすべてのエクスプロイトは、パッチが適用されるよう、Apple などの必要な企業に報告されます。