パスワードを忘れた? アカウント作成
10783487 story
Firefox

Pwn2Own 2014で攻略された回数が最も多かったWebブラウザーはFirefox 23

ストーリー by headless
最多 部門より
Pwn2Own 2014のハッキングチャレンジでは主要なWebブラウザー(Chrome、Firefox、IE、Safari)がすべてセキュリティーを突破されている。中でもFirefoxは4回攻略されており、主要ブラウザー中最も多かったそうだ(eWeekの記事Naked Securityの記事インターネットコムの記事本家/.)。

Firefoxは初日に未知の脆弱性3つをそれぞれ利用されて3回攻略された。2日目にも別の脆弱性を利用して攻略されている。このように2日間で新たな脆弱性が4つも明らかになったのは、Pwn2Ownの賞金が理由として考えられるという。Mozillaでは2004年からバグ発見報奨金プログラムを導入しており、2010年からはバグ報告者に3,000ドルの報奨金を支払っている。しかし、今回Firefoxの攻略成功者に贈られた賞金は各50,000ドル。このことが、脆弱性の発表の場にPwn2Ownが選ばれる動機となっている可能性があるとのことだ。

なお、発見された4つの脆弱性は18日にリリースされたFirefox 28ですべて修正されている(インターネットコムの記事2)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年03月23日 14時42分 (#2567850)

    http://internetcom.jp/webtech/20140314/1.html [internetcom.jp]から

    >「Google のリサーチャーは、Apple Safari の脆弱性を発見した。彼らは、ターゲットの root を奪取することに成功した」

    >Pwn2Own に参加したリサーチャー達は、初日だけですでに40万ドルの賞金を獲得しているが、
    >金額がもっとも高い「Unicorn」賞を獲得したものはいない。
    > 「Unicorn」賞は、Microsoft の脆弱性緩和ツール「EMET」がインストールされた64ビット Windows 8.1 上で動作する
    >Internet Explorer 11 の脆弱性を発見したリサーチャーに与えられるもの。

    • by fukapon (4131) on 2014年03月23日 15時21分 (#2567860)

      私もここは気になりました。
      今やInternet Explorerが脆弱なものとは思っていませんが、最新の環境ではそこまで強固なんですね。

      親コメント
      • by Anonymous Coward

        ASLRが有効だから普通の脆弱性を突いても、運ゲーしょ

      • by Anonymous Coward

        クロムやFirefoxの脆弱性を付けても実際大した金にならない。
        ところが最新版のWinの脆弱性を付けるとなれば、利用価値が高い。自分で直接
        使用しなくても他人に売ることで換金の可能性もある。

        いづれのブラウザもこれまでアホみたいに修正しているのだからもとから大差ないということ

    • by Anonymous Coward

      IE11単体は破られているようですから、EMETが効果的だということでしょうか。

      自分もインストールしたほうがいいかも…。

      • by Anonymous Coward
        EMET4.0 [technet.com]の説明によれば、脆弱性が利用されたとしてもEMETがその動きを検知するとシステムプロセスを強制終了させるようです。
        攻撃のための梯子を作ろうとしても途中で梯子が取り外されて攻撃できないという感じでしょうか。賽の河原のような感じかもしれません。
  • by Anonymous Coward on 2014年03月23日 13時54分 (#2567836)

    報奨金を増額することで、バグを見つけるためのモチベーションは一時的には上がると思いますが、問題もあると思います。
    報奨金だけが目当てになると、バグ発見者は「より高く売れるところで利用しよう」と考えるようになるからです。

    もちろん、労力に見合った報奨金は必須ですが、それだけでは限界があるでしょう。
    たとえば、Mozilla公認のセキュリティアドバイザー的な認定をして、その人が指摘したバグ対応の優先順位をあげるとか、そういうなにかが欲しいところです。

    • by fukapon (4131) on 2014年03月23日 15時31分 (#2567863)

      ん? 限界の指摘がよくわからないのですが。Firefoxの開発が全て順調と言うつもりはありませんが、今回発見された脆弱性はきっちり潰しています。優先度の設定も開発力も問題ないと言えるのでは。
      報奨金というか金目当てだけになることによって、こういった白い場ではなく、黒い市場で売りさばかれているってのは数年前から指摘されていますね。Zero Day Attackが横行する背景でもあり、セキュリティを金にすることの限界でもあります。

      余談ですが、セキュリティ界隈もいろいろ悩ましいことになっているらしいです。Full Disclosureの終了についてはなるほどと思わされました。

      親コメント
      • by Anonymous Coward

        バグ毎に賞金を払うより、そういう人を固定金で雇ったほうがいいんじゃ、ってことだろ

        • by Anonymous Coward

          普通、開発者側でバグや脆弱性の確認はするはずだけど、それでもすり抜けるものがある。そのすり抜けたものを一般から探してもらってる。
          だから、バグ発見担当者を固定給で雇ったとしても何も変わらない。そりゃ、専任者を増やせばそれだけすり抜ける可能性は下がるだろうけど、それでも0にすることはできない。
          開発者側を増やすということはすでにやっただろうから、それをわかった上で一般から報酬で募集する方が効率的と考えたんじゃないかな。

      • by Anonymous Coward

        私が元コメントで指摘したのは、まさにおっしゃるように「セキュリティを金にすることの限界」についてです。
        要するに、セキュリティホールを見つけることに対する金以外の何か別のものを用意するべきではないかな、ということです。
        何が適切かはわかりませんが、セキュリティを研究してる人間が、犯罪組織に売るんではなく、Mozillaのバグ出しに協力してやろうと思うような何かです。

        まあ、恐らくそんなことは繰り返し指摘されてきたことなのでしょうが。
        Mozillaのセキュリティ対策のやり方について詳しくしらないので、もし見当違いのこと言ってたらすみません。

        • by Elbereth (17793) on 2014年03月24日 3時28分 (#2568097)
          > セキュリティホールを見つけることに対する金以外の何か別のものを
          > 用意するべきではないかな

          その何かを発明できたとしたらノーベル賞をもらえるというか
          ノーベル賞を超えますよ。ノーベル賞ですら名誉と多少のお金しか
          もらえませんから。
          親コメント
        • by Anonymous Coward

          それがハッキングチャレンジなんじゃないの?

    • by Anonymous Coward

      BitCoinみたいに「自分が発見したバグ」の所有者がいつまでも自分だけとも限らないので、
      手頃な報奨金をチラつかされれば囚人のジレンマよろしく早々に処分したがるんじゃないですかね。

  • by Anonymous Coward on 2014年03月23日 13時47分 (#2567834)

    オープンソースなのはFirefoxだけじゃないか。
    ChromeもSafariもオープンソースブラウザがベースになっているだけだ。

    • by qem_morioka (30932) on 2014年03月23日 14時30分 (#2567845) 日記

      オープンソースだからこそ、みんなよってたかって叩いて
      良い物が出来るって考え方なんだから、いいんじゃね?

      親コメント
    • by Anonymous Coward

      Chromeはほぼ全てオープンソースの寄せ集めでできてるよ

    • by Anonymous Coward

      「攻略されやすい」のならオープンソースソフトなんて危なくて使えねー。

      • by Anonymous Coward

        オープンソースだから「改善されやすい」というのは幻想でしょうかね

  • by Anonymous Coward on 2014年03月23日 14時50分 (#2567854)

    「攻略された」じゃなくて「攻略してもらえた」ですよね。
    もともとそういう趣旨の話題なんだから。

    どこの人が書かせたタレコミなんだろ。

    • by Anonymous Coward

      攻略されたの方があってる

    • by Anonymous Coward

      攻略することとそれに成功することは区別すべきなんじゃ……

  • by Anonymous Coward on 2014年03月24日 5時34分 (#2568104)

    コード解析が進んだおかげで脆弱性は見つけやすくなったのに、修正が追いついてないという印象です。
    この状態で、Pwn2Ownを続ける意味はあるのでしょうか。というか、修正の方にお金を使うべきな気がします。

    http://git.chromium.org/gitweb/?p=git/chromium.git;a=blob;f=tools/valg... [chromium.org]
    http://git.chromium.org/gitweb/?p=git/chromium.git;a=blob;f=tools/valg... [chromium.org]

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...