Pwn2Own 2014で攻略された回数が最も多かったWebブラウザーはFirefox 23
ストーリー by headless
最多 部門より
最多 部門より
Pwn2Own 2014のハッキングチャレンジでは主要なWebブラウザー(Chrome、Firefox、IE、Safari)がすべてセキュリティーを突破されている。中でもFirefoxは4回攻略されており、主要ブラウザー中最も多かったそうだ(eWeekの記事、
Naked Securityの記事、
インターネットコムの記事、
本家/.)。
Firefoxは初日に未知の脆弱性3つをそれぞれ利用されて3回攻略された。2日目にも別の脆弱性を利用して攻略されている。このように2日間で新たな脆弱性が4つも明らかになったのは、Pwn2Ownの賞金が理由として考えられるという。Mozillaでは2004年からバグ発見報奨金プログラムを導入しており、2010年からはバグ報告者に3,000ドルの報奨金を支払っている。しかし、今回Firefoxの攻略成功者に贈られた賞金は各50,000ドル。このことが、脆弱性の発表の場にPwn2Ownが選ばれる動機となっている可能性があるとのことだ。
なお、発見された4つの脆弱性は18日にリリースされたFirefox 28ですべて修正されている(インターネットコムの記事2)。
Firefoxは初日に未知の脆弱性3つをそれぞれ利用されて3回攻略された。2日目にも別の脆弱性を利用して攻略されている。このように2日間で新たな脆弱性が4つも明らかになったのは、Pwn2Ownの賞金が理由として考えられるという。Mozillaでは2004年からバグ発見報奨金プログラムを導入しており、2010年からはバグ報告者に3,000ドルの報奨金を支払っている。しかし、今回Firefoxの攻略成功者に贈られた賞金は各50,000ドル。このことが、脆弱性の発表の場にPwn2Ownが選ばれる動機となっている可能性があるとのことだ。
なお、発見された4つの脆弱性は18日にリリースされたFirefox 28ですべて修正されている(インターネットコムの記事2)。
気になったところ (スコア:3, 興味深い)
http://internetcom.jp/webtech/20140314/1.html [internetcom.jp]から
>「Google のリサーチャーは、Apple Safari の脆弱性を発見した。彼らは、ターゲットの root を奪取することに成功した」
>Pwn2Own に参加したリサーチャー達は、初日だけですでに40万ドルの賞金を獲得しているが、
>金額がもっとも高い「Unicorn」賞を獲得したものはいない。
> 「Unicorn」賞は、Microsoft の脆弱性緩和ツール「EMET」がインストールされた64ビット Windows 8.1 上で動作する
>Internet Explorer 11 の脆弱性を発見したリサーチャーに与えられるもの。
Re:気になったところ (スコア:1)
私もここは気になりました。
今やInternet Explorerが脆弱なものとは思っていませんが、最新の環境ではそこまで強固なんですね。
Re: (スコア:0)
ASLRが有効だから普通の脆弱性を突いても、運ゲーしょ
Re: (スコア:0)
クロムやFirefoxの脆弱性を付けても実際大した金にならない。
ところが最新版のWinの脆弱性を付けるとなれば、利用価値が高い。自分で直接
使用しなくても他人に売ることで換金の可能性もある。
いづれのブラウザもこれまでアホみたいに修正しているのだからもとから大差ないということ
EMETの効果? (スコア:0)
IE11単体は破られているようですから、EMETが効果的だということでしょうか。
自分もインストールしたほうがいいかも…。
Re: (スコア:0)
攻撃のための梯子を作ろうとしても途中で梯子が取り外されて攻撃できないという感じでしょうか。賽の河原のような感じかもしれません。
報奨金 (スコア:1)
報奨金を増額することで、バグを見つけるためのモチベーションは一時的には上がると思いますが、問題もあると思います。
報奨金だけが目当てになると、バグ発見者は「より高く売れるところで利用しよう」と考えるようになるからです。
もちろん、労力に見合った報奨金は必須ですが、それだけでは限界があるでしょう。
たとえば、Mozilla公認のセキュリティアドバイザー的な認定をして、その人が指摘したバグ対応の優先順位をあげるとか、そういうなにかが欲しいところです。
Re:報奨金 (スコア:2)
ん? 限界の指摘がよくわからないのですが。Firefoxの開発が全て順調と言うつもりはありませんが、今回発見された脆弱性はきっちり潰しています。優先度の設定も開発力も問題ないと言えるのでは。
報奨金というか金目当てだけになることによって、こういった白い場ではなく、黒い市場で売りさばかれているってのは数年前から指摘されていますね。Zero Day Attackが横行する背景でもあり、セキュリティを金にすることの限界でもあります。
余談ですが、セキュリティ界隈もいろいろ悩ましいことになっているらしいです。Full Disclosureの終了についてはなるほどと思わされました。
Re: (スコア:0)
バグ毎に賞金を払うより、そういう人を固定金で雇ったほうがいいんじゃ、ってことだろ
Re: (スコア:0)
普通、開発者側でバグや脆弱性の確認はするはずだけど、それでもすり抜けるものがある。そのすり抜けたものを一般から探してもらってる。
だから、バグ発見担当者を固定給で雇ったとしても何も変わらない。そりゃ、専任者を増やせばそれだけすり抜ける可能性は下がるだろうけど、それでも0にすることはできない。
開発者側を増やすということはすでにやっただろうから、それをわかった上で一般から報酬で募集する方が効率的と考えたんじゃないかな。
Re: (スコア:0)
私が元コメントで指摘したのは、まさにおっしゃるように「セキュリティを金にすることの限界」についてです。
要するに、セキュリティホールを見つけることに対する金以外の何か別のものを用意するべきではないかな、ということです。
何が適切かはわかりませんが、セキュリティを研究してる人間が、犯罪組織に売るんではなく、Mozillaのバグ出しに協力してやろうと思うような何かです。
まあ、恐らくそんなことは繰り返し指摘されてきたことなのでしょうが。
Mozillaのセキュリティ対策のやり方について詳しくしらないので、もし見当違いのこと言ってたらすみません。
Re:報奨金 (スコア:1)
> 用意するべきではないかな
その何かを発明できたとしたらノーベル賞をもらえるというか
ノーベル賞を超えますよ。ノーベル賞ですら名誉と多少のお金しか
もらえませんから。
Re: (スコア:0)
それがハッキングチャレンジなんじゃないの?
Re: (スコア:0)
BitCoinみたいに「自分が発見したバグ」の所有者がいつまでも自分だけとも限らないので、
手頃な報奨金をチラつかされれば囚人のジレンマよろしく早々に処分したがるんじゃないですかね。
そりゃそうだ (スコア:0)
オープンソースなのはFirefoxだけじゃないか。
ChromeもSafariもオープンソースブラウザがベースになっているだけだ。
Re:そりゃそうだ (スコア:1)
オープンソースだからこそ、みんなよってたかって叩いて
良い物が出来るって考え方なんだから、いいんじゃね?
Re: (スコア:0)
Chromeはほぼ全てオープンソースの寄せ集めでできてるよ
Re: (スコア:0)
「攻略されやすい」のならオープンソースソフトなんて危なくて使えねー。
Re: (スコア:0)
オープンソースだから「改善されやすい」というのは幻想でしょうかね
タイトルおかしい (スコア:0)
「攻略された」じゃなくて「攻略してもらえた」ですよね。
もともとそういう趣旨の話題なんだから。
どこの人が書かせたタレコミなんだろ。
Re: (スコア:0)
攻略されたの方があってる
Re: (スコア:0)
攻略することとそれに成功することは区別すべきなんじゃ……
うーん… (スコア:0)
コード解析が進んだおかげで脆弱性は見つけやすくなったのに、修正が追いついてないという印象です。
この状態で、Pwn2Ownを続ける意味はあるのでしょうか。というか、修正の方にお金を使うべきな気がします。
http://git.chromium.org/gitweb/?p=git/chromium.git;a=blob;f=tools/valg... [chromium.org]
http://git.chromium.org/gitweb/?p=git/chromium.git;a=blob;f=tools/valg... [chromium.org]