コミュニティの力ハッカーは、Windows 10 Red Stone 1 上で動作する Microsoft Edge を 2 回にわたって完全に侵害し、ユーザーの介入なしに VMWare Workstation を初めて 2 回破壊しました。
これらのバグはシステム レベルのリモート コード実行によって発生しましたが、2 回目の VMware ハッキングもリモートで実行される可能性があります。
4つのハッキングは、木曜日にソウルで開催されたPower of Communityセキュリティカンファレンス内のPwnFest 2016イベントで実演され、詳細はベンダーに提供され、秘密にされていた。
これは、Android バージョン 7 (Nougat) を実行する新しい Google Pixel、Windows 10 Red Stone 1 上の Microsoft Edge 経由の Adobe Flash、および macOS Sierra 上の Apple Safari など、主要プラットフォームに対する一連のハッキングです。
ジョンフン・リー(別名LokiHardt)がEdgeのエクスプロイトを成功させる。ダレン・パウリ / The Registerより。
北京の脆弱性対策会社 Qihoo 360 のチームは、Windows 10 上の Edge の脆弱性を突くことに成功した。同様に、非常に才能のある韓国のハッカー Lokihardt も同様の攻撃を行なった。Lokihardt の攻撃はわずか 18 秒で成功した。
両者とも、Windows Edge でシステム レベルのコード実行を獲得したことで 14 万ドルを獲得しました。
別のQihooハッカーチームとLeeは、VMware Workstation 12.5.1を世界初の同プラットフォームへの攻撃で侵害し、その攻撃で15万ドルを獲得した。
Qihoo チームはVulture Southに対し、解放後使用の可能性がある脆弱性、境界外読み取りの脆弱性、境界外書き込みの脆弱性が確認された脆弱性の 3 つが連鎖的に発生するまで 3 月から 6 か月かかったと語った。
マイクロソフトがイベント直前のパッチ火曜日で 4 つの脆弱性のうち 3 つを修正したため、Qihoo には Edge のバグを修正するのに約 30 時間しかありませんでした。
The Register は2 日間の会議を通じて、成功したハッキングについて報告します。
ハッキングチームは成功すると予想されます。®
ダレン・パウリ氏はPower of Communityのゲストとしてソウルを訪れました。
