2014年3月14日午前4時23分（太平洋標準時）

例年通り、毎年恒例のPwn2Ownコンテストには、Appleを含む主要ベンダーの最新OSやブラウザを狙う多くのハッカーが参加しました。Threatpostによると、「Keen Team」は木曜日にSafariをターゲットにし、比較的容易に脆弱性を悪用したとのことです。

チームはSafariへの取り組みに対して4万ドルの報奨金を獲得したほか、ゼロデイFlashエクスプロイトの共同開発に対して7万5000ドルの賞金の一部を獲得した。賞金の一部は、マレーシア航空機の行方不明の乗客を支援する慈善団体に寄付される予定だ。

グループはSafariに対して、2つの異なるエクスプロイトベクトルを用いたと述べています。1つはWebKitのヒープオーバーフロー脆弱性で、任意のコード実行を可能にします。そして、この脆弱性を突いて別のエクスプロイトを悪用し、アプリケーションサンドボックスを回避して、ユーザー権限で実行されたかのようにコードを実行しました。

拡大
拡大
閉じる