PWN 2 OWNコンテスト最終日にAdobe FlashのセキュリティホールでVistaが陥落

文:Nathan McFeters(Special to ZDNet) 翻訳校正:石橋啓一郎

2008-03-31 06:59

 Pwn2Ownコンテストの最終日、VistaのマシンもSecurity ObjectivesのShane Macaulay氏、Derek Callway氏、そしてAlexander Sotirov氏JavaScript Heap Feng Shuiを参照のこと)を含むハッカーのグループに陥落した。ZDIのサイトには次のように掲載されている。

 午後7:30 PST 更新:Vistaのラップトップにも受賞者が出た!Security ObjectivesのShane Macaulayにお祝いを言いたい。彼は、インストールされていた最新バージョンのAdobe Flashを利用し、Vista Ultimate SP1を載せた富士通のU810をたった今勝ち取った。彼は富士通のラップトップの公式受賞者であるだけでなく、われわれから5000ドルが進呈される。Shaneは友人のDerek Callaway(同じくSecurity Objectives)とAlexander Sotirov氏の助けを受けていた。覚えている人もいるかも知れないが、Shane Macaulayは昨年のPWN to OWNイベントではDino Dai Zoviのオンサイトチームメンバーで、彼らは最終的にトップの賞を受賞した。

 Shaneが利用した新しいAdobe Flashのゼロデイ脆弱性はZero Day Initiativeが権利を取得しており、責任を持ってAdobeにこの情報を開示した。Adobeは現在この問題に取り組んでいる。Adobeがこの問題に関するパッチを公表するまでは、われわれも参加者もこの脆弱性に関する追加情報は一切公表しない。この脆弱性に関する情報は、Zero Day Initiativeが今後発表するアドバイザリのページで追跡することができる。

 すべての受賞者にお祝いの言葉を捧げる。

 3月29日時点追記:念のためにはっきりさせておくが、これはAdobeの製品であるAdobe Flashのセキュリティホールであり、Microsoftの製品やWindows Vistaのものではない。これは重要なことで、このセキュリティホールは、完全にパッチを施された真新しいMacBook Airが、Safariのセキュリティホールで陥落したという場合ほど派手なものではない。他の多くの人たち同様私はこれに関する詳細情報を待っているところだが、これは製品がVistaに組み込まれたASLRとDEPの保護を活用できなかったという問題の1つではないかと考えている。過去の記事で触れたとおり、これらの保護技術を使うかどうかは選択できる。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  2. セキュリティ

    サイバー攻撃の“大規模感染”、調査でみえた2024年の脅威動向と課題解決策

  3. セキュリティ

    従業員のセキュリティ教育の成功に役立つ「従業員教育ToDoリスト」10ステップ

  4. セキュリティ

    IoTデバイスや重要インフラを標的としたサイバー攻撃が増加、2023年下半期グローバル脅威レポート

  5. セキュリティ

    急増する工場システムへのサイバー攻撃、現場の課題を解消し実効性あるOTセキュリティを実現するには

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]