Pwn2Ownは、対象となるプロダクトの0-day脆弱性を発見し、エクスプロイトに成功すると高額賞金を手に入れることができるという世界最大規模のコンテストです。
いろいろな主催者が多くの類似のコンテストを開催していますが、このPwn2Ownは2007年から開催されいているものです。
いわゆるバグバウンティコンテストです。
また今年も開催され、多くの試みが実施されました。
- VMware ESXi
単一の整数オーバーフローを利用して#VMware ESXiをエクスプロイトしました。 - Microsoft SharePoint
認証バイパスと安全でないデシリアライゼーションのバグを組み合わせ、Microsoft SharePointをエクスプロイトしました。 - Firefox
境界外書き込み(Out-of-Bounds Write)を悪用し、Mozilla Firefoxをエクスプロイトしました。
これらはコンテストで実施された取り組みのほんの一部です。
3日間にわたって、多くの取り組みが実施され、多くの新たな脆弱性が実証されました。
このコンテストはホワイトハッカーによるコンテストですので、概念実証が実施されてすぐにその詳細が明らかになるようなスケジュールにはなっていません。
実証された脆弱性の内容は主催者を経由してソフトウェアのベンダーに技術的な詳細が連絡されます。
そして設定された猶予期間である90日間の間に、連絡を受けたベンダーは修正されたソフトウェアの準備に取り組み、リリースを目指します。
脆弱性が修正される経緯にはいろいろなものがありますが、この例のように多くの人が関係して実施される例も少なくありません。
脆弱性の情報に注目しているのはホワイトハッカーやベンダーだけではありません。
脅威アクターも効果的に悪用できる脆弱性について常に目を光らせています。
利用できるようになった脆弱性の対応は、速やかに適用したいものです。
Pwn2Own Berlin 2025: Day One Results
https://www.zerodayinitiative.com/blog/2025/5/15/pwn2own-berlin-2025-day-one-results
Pwn2Own Berlin 2025: Day Two Results
https://www.zerodayinitiative.com/blog/2025/5/16/pwn2own-berlin-2025-day-two-results
Pwn2Own Berlin 2025: Day Three Results
https://www.zerodayinitiative.com/blog/2025/5/17/pwn2own-berlin-2025-day-three-results
| この記事をシェア |
|
|---|
