トレンドマイクロのゼロデイ・イニシアチブは水曜日、毎年恒例のPwn2Ownハッキング・コンテストを開始し、AppleのSafari Webブラウザを悪用する2つの試みを行い、そのうちの1つが成功した。
フェエンヘックスのサミュエル・グローシュハッキングされたサファリ大会のブログによると、これには macOS の特権昇格の脆弱性を含む 3 つのバグ チェーンが含まれています。
プレスリリースにはさらなる詳細が記載されており、このエクスプロイトによりMacBook Proのタッチバー上のテキストが変更されたとしている。 Groß は彼の努力に対して 65,000 ドルと、切望される Master of Pwn タイトルへの 6 ポイントを受け取りました。
別の Safari エクスプロイトは、Mobile Pwn2Own イベントで Safari の 2 つのバグを使用して iPhone 7 のセキュリティ プロトコルをバイパスした Richard Zhu によって試みられました。11月に。 Pwn2Own 2018 では、Zhu は割り当てられた 30 分の制限時間内にサンドボックスからの脱出を開始して実行することができませんでした。
しかし、Zhu 氏は、Windows カーネル EoP を使用して Microsoft Edge、具体的には 2 つの Use After Free (UAF) 脆弱性とカーネル内の整数オーバーフローをターゲットにすることに成功しました。
Groß の phoenhex チームメイトである Niklas Baumstark も、Oracle VirtualBox をターゲットとしたバグで部分的な成功を収めました。
2007 年に始まった Pwn2Own は、セキュリティ研究者が最新のソフトウェアやハードウェアの範囲に影響を与えるゼロデイ脆弱性を発見、共有、実証することを奨励する年次ハッキング コンテストです。成功した者は、ハッキングされたデバイスを維持することができ、つまり「pwn to own」として賞金を受け取り、十分なポイントを獲得すると「マスターズ」ジャケットが与えられ、ベンダーには脆弱性に関する情報とパッチを適用する機会が与えられます。
今年、ZDI は Microsoft と提携し、VMWare のスポンサーとなり、仮想化、Web ブラウザ、エンタープライズ アプリケーション、サーバー、および特別な Windows Insider Preview Challenge をターゲットとするハッカーに 200 万ドルの現金と賞金を提供しました。ランダムに選ばれた 5 人の出場者が、対象カテゴリーのうち 2 つをカバーする 2 日間のコンテストに参加します。
Pwn2Own の 2 日目は木曜日に始まり、macOS カーネル EoP エクスプロイトとサンドボックス エスケープを含む、Safari でのさらに 2 つの試みが含まれます。
