PWN 2 OWNコンテスト最終日にAdobe FlashのセキュリティホールでVistaが陥落

　Pwn2Ownコンテストの最終日、VistaのマシンもSecurity ObjectivesのShane Macaulay氏、Derek Callway氏、そしてAlexander Sotirov氏（JavaScript Heap Feng Shuiを参照のこと）を含むハッカーのグループに陥落した。ZDIのサイトには次のように掲載されている。

　午後7:30 PST 更新：Vistaのラップトップにも受賞者が出た！Security ObjectivesのShane Macaulayにお祝いを言いたい。彼は、インストールされていた最新バージョンのAdobe Flashを利用し、Vista Ultimate SP1を載せた富士通のU810をたった今勝ち取った。彼は富士通のラップトップの公式受賞者であるだけでなく、われわれから5000ドルが進呈される。Shaneは友人のDerek Callaway（同じくSecurity Objectives）とAlexander Sotirov氏の助けを受けていた。覚えている人もいるかも知れないが、Shane Macaulayは昨年のPWN to OWNイベントではDino Dai Zoviのオンサイトチームメンバーで、彼らは最終的にトップの賞を受賞した。

　Shaneが利用した新しいAdobe Flashのゼロデイ脆弱性はZero Day Initiativeが権利を取得しており、責任を持ってAdobeにこの情報を開示した。Adobeは現在この問題に取り組んでいる。Adobeがこの問題に関するパッチを公表するまでは、われわれも参加者もこの脆弱性に関する追加情報は一切公表しない。この脆弱性に関する情報は、Zero Day Initiativeが今後発表するアドバイザリのページで追跡することができる。

　すべての受賞者にお祝いの言葉を捧げる。

　3月29日時点追記：念のためにはっきりさせておくが、これはAdobeの製品であるAdobe Flashのセキュリティホールであり、Microsoftの製品やWindows Vistaのものではない。これは重要なことで、このセキュリティホールは、完全にパッチを施された真新しいMacBook Airが、Safariのセキュリティホールで陥落したという場合ほど派手なものではない。他の多くの人たち同様私はこれに関する詳細情報を待っているところだが、これは製品がVistaに組み込まれたASLRとDEPの保護を活用できなかったという問題の1つではないかと考えている。過去の記事で触れたとおり、これらの保護技術を使うかどうかは選択できる。