中国のハッカーコンテストである天府杯の開催中に、Chrome、Edge、Safari がハッカーの標的になりました。結果 ? Microsoft Edge の最後の安定バージョンは、Chrome や Safari と同様にすぐに崩壊しましたが、依然としてハッカーにもう少し問題を与えていました。問題は、新たなゼロデイ脆弱性の発見です。
Chrome、Safari、Edge にはゼロデイ脆弱性、つまりまだ文書化されていない重大なセキュリティ上の欠陥がたくさんあります。そして、これらの欠陥は比較的簡単に悪用されます。いずれにせよ、これは、有名な Pwn2Own の中国版である海賊コンテストである Tianfu Cup の初日から得た結論です。この原則は次のとおりであると言わなければなりません。ハックフェスト中国のセキュリティ専門家を結集したこの組織は、まさにプログラムや機器のゼロデイ脆弱性を発見することを目的としています。脆弱性が発見されるたびに、チームは数十万ユーロ相当の収入を得て、その過程で評判が高まります。
したがって、初日には、Chrome、Edge、Safari の最新の安定バージョンはすべてハッカーのコマンドやその他のペイロードに該当しました。最初に落ちたのは特に驚くべきことではなかったMicrosoft Edge、エンジンが間もなく Chromium に切り替わるブラウザ。初日に 3 つのエクスプロイトが機能しましたが、これは必ずしも素晴らしいとは言えません。しかし、Edge は、特に HTML レンダリング エンジンを EdgeHTML から Chromium のパーソナライズされたバージョン (Chrome エンジン) に変更するなど、変化の準備を進めています。ただし、Chromium への切り替えはセキュリティを絶対に保証するものではありません。
実際、Chrome は競合するハッカーの行動にそれほど長く抵抗しなかったため、2 つの攻撃が成功しました。 Mac と iPhone のブラウザである Safari はもう少しうまくいきましたが、1 つの攻撃は依然として成功しており、十分な決意とスキルがあれば、これらのブラウザのセキュリティは比較的簡単な方法で侵害できることがわかります。しかし、懸念されるのは、これらのブラウザが比較的ハッキングされやすいということだけではありません。これは、イベントに Google、Apple、Microsoft のいずれも出席していなかったために、これらのエクスプロイトの発見が関係者に気づかれなかったためです。
こちらもお読みください:Chrome – 2 つの欠陥により PC が危険にさらされています。すぐに最新のアップデートをインストールしてください
Pwn2Own のようなこのタイプの他のコンテストとは異なります。その結果、現時点では、これらのハッカーによって発見された欠陥はパッチされておらず、詳細が不明な限り、悪用される可能性が残っています。イベントの 2 日目には、他のプログラムや機器、特に D-Link DIR-878 ルーター (攻撃成功 4 件)、Adobe PDF Reader (攻撃成功 2 件)、VMWare Workstation (攻撃成功 1 件) が落下しました。
ソース :テクレーダー
