研究者が Pwn2Own 2016 で OS X と Safari の複数のエクスプロイトを発見

第 16 回年次セキュリティ会議 CanSecWest がブリティッシュ コロンビア州バンクーバーのダウンタウンで開催されており、 Pwn2Own コンピュータ ハッキング コンテストに参加している研究者らは、デスクトップ上の OS X と Safari Web ブラウザに複数の脆弱性をすでに発見しています。

イベントの初日、独立系セキュリティ研究者の JungHoon Lee 氏は、OS X と Safari の両方を悪用して 60,000 ドルを稼ぎました。セキュリティ会社 トレンドマイクロ によると、Lee氏はSafariのエクスプロイト1件とOS Xオペレーティングシステム内の他の3件の脆弱性を含む、合計4件の脆弱性を発見したという。

JungHoon Lee (lokihardt): root 権限を取得するための Apple Safari に対するコード実行攻撃の成功を実証しました。この攻撃は、Safari の use-after-free 脆弱性と、root にエスカレーションするヒープ オーバーフローを含む 3 つの追加脆弱性の 4 つの新しい脆弱性で構成されていました。このデモンストレーションにより、10 Master of Pwn ポイントと 60,000 米ドルが獲得されました。

一方、レポートでは、Tencent Security Team Shield グループが「2 つの use-after-free 脆弱性」を利用して Safari に対する root 権限を取得できるコードの実行に成功したと主張しており、1 つは Safari に、もう 1 つは「特権プロセス」にあります。研究者らには賞金 40,000 ドルが授与されました。

報告書によると、参加した 5 チームは初日に総額 282,500 ドルの賞金を獲得し、その中には 360Vulcan チームが獲得した最高額の 132,500 ドルも含まれています。標的にされた他の Web ブラウザーとプラグインには、Adobe Flash、Google Chrome、Windows 上の Microsoft Edge などがあります。

Apple の代表者は過去に Pwn2Own に参加しており、影響を受ける当事者はパッチを適用するためにコンテスト中に発見されたすべてのセキュリティ脆弱性を認識する必要があります。 Pwn2Own の 2 日目は本日太平洋時間午前 9 時に始まり、OS X と Safari に対する追加の悪用の試みが含まれます。