Pwn2Own 2021イベントは、ゼロデイ・イニシアチブが主催し、開発者や研究者に対し、ゼロデイ脆弱性を悪意のあるハッカーに売り渡すのではなく、影響を受ける企業に報告するよう促すことを目的としています。今年は、システム研究者のジャック・デイツ氏が、AppleのSafariウェブブラウザにおける新たな脆弱性を発見し、10万ドルの報酬を受け取りました。

この用語に馴染みのない方のために説明すると、ゼロデイエクスプロイトとは、基本的に、開発者にまだ修正方法が知られていない、新たに発見された脆弱性のことです。

Datesは整数オーバーフローを利用して、Mac版Safariを介してカーネルレベルのコード実行に成功しました。つまり、このエクスプロイトはコンピュータの残りの部分への完全なアクセスにつながるということです。この確認は、エクスプロイトの実行を示す短いGIF画像とともにTwitterで共有されました。

確認済み！RET2 SystemsのJack Dates氏が、Safariの整数オーバーフローとOOB書き込みを悪用してカーネルコードを実行しました。彼は10万ドルとMaster of Pwnポイント10ポイントを獲得し、コンテストの好スタートを切りました！

このイベントはApple製品に焦点を当てたものではありませんでしたが、Safariの脆弱性は当時まだ知られていなかったため、デイツ氏はその発見に対して10万ドルを獲得しました。先月、ハッカー集団が侵害されたウェブサイトを利用してiOSデバイスに感染させていたことが明らかになりました。適切な人物によるこうしたセキュリティ侵害を把握することで、Appleは迅速にソフトウェアアップデートで脆弱性を修正することができます。

関連して、セキュリティ研究者はPwn2Ownイベントで、人気のビデオ会議サービスZoomで見つかった脆弱性も公開した。これもハッカーがコンピューターに完全にアクセスできる脆弱性である。

Pwn2Own イベントで研究者が発見したその他のセキュリティ侵害の詳細については、Zero Day Initiative の公式 Web サイトでご覧いただけます。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。