PWN2OWN VANCOUVER 2023

ほぼこもセキュリティニュース By Terilogy Worx

Pwn2Ownが今年も開催されました。
例年通り多くの脆弱性が確認されています。
コンテストで多くの脆弱性が概念実証デモを実施されています。
新たなものであると認定されたものが多数ありますし、確認の結果既知の脆弱性だと判定されたものもありました。
いくつか見てみましょう。

  • Teslaのゲートウェイエネルギー管理システムの脆弱性
    Teslaのゲートウェイエネルギー管理システムに対してTOCTTOU攻撃として知られる攻撃が実演されました。
    この脆弱性の悪用により、Tesla Model3のフロントトランクやドアを走行中に開けることができてしまいます。
    この攻撃の侵入部分には2分もかかっていませんでした。
    新たな脆弱性と判定されました。

     

  • Teslaのサブシステムへのディープアクセスの脆弱性
    Teslaのインフォテインメントシステムに侵入するデモが実演されました。
    侵入後他のサブシステムの特権アクセスを取得できてしまっています。
    新たな脆弱性と判定されました。

     

  • Adobe Readerの脆弱性
    サンドボックスをエスケープし、禁止されたAPIリストをバイパスする複数の失敗したパッチを悪用する6つのバグロジックチェーンを使用する方法が実演されました。
    新たな脆弱性と判定されました。

     

  • Oracle VirtualBoxの脆弱性
    OOB Readとスタックベースのバッファオーバーフローを使用する方法が実演されました。
    新たな脆弱性と判定されました。

他にもいくつもの新しい脆弱性がデモされました。
これらの確認された脆弱性についての詳細情報は現時点では無制限の公表はされていません。
脆弱性に関連する組織に詳細情報が伝えられています。
そして90日間の猶予の中でそれぞれの脆弱性の対策が提供されていくことになります。

脆弱性は日々発見され対策が提供されていきます。
適用できるものはタイムリーに適用していきたいものです。

参考記事(外部リンク):PWN2OWN VANCOUVER 2023 – DAY THREE RESULTS
www.zerodayinitiative.com/blog/2023/3/24/pwn2own-vancouver-2023-day

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。