WebブラウザのハッキングコンペでSafariとIEが破られる

ハッキングコンテスト「Pwn2Own」でセキュリティ研究者がAppleのSafariとMicrosoftのInternet Explorer（IE）のハッキングに成功した。

[鈴木聖子，ITmedia]

　セキュリティ企業のTippingPointが主催するハッキングコンテスト「Pwn2Own」が、カナダで開かれている。初日の3月9日、セキュリティ研究者がAppleのWebブラウザSafariとMicrosoftのInternet Explorer（IE）の脆弱性を突いてハッキングすることに成功した。

　TippingPoint担当者などのツイートによると、まずフランスのセキュリティ企業VUPENがSafariのハッキングに成功し、賞品のMacbook Airを獲得した。次いでセキュリティ研究者のスティーブン・フュワー氏が、保護モードをかわしてIEをハッキングした。

　これについてVUPENは、Twitterで「Mac OS X（x64）上のSafariを5秒で破った」「AppleはPwn2Ownの直前にSafari 5.0.4とiOS 4.3をリリースした。これで一部のエクスプロイトは阻止されたが、全てではなかった」と報告した。

　一方、Microsoftセキュリティ対策センターもTwitterで、「Pwn2Ownで使われたIEのエクスプロイトは、社内のセキュリティ研究者が既に調査している」と説明した。なおこの脆弱性は、次期WebブラウザIE 9のリリース候補（RC）には影響しないことを確認したという。IE 9の公式版は3月14日にリリース予定。

　Pwn2Ownは、セキュリティカンファレンス「CanSecWest」のイベントの1つとして開かれ、IE、Safari、Mozilla Firefox、Google Chromeの各Webブラウザについて、セキュリティ研究者がハッキングの腕を競っている。Googleは、サンドボックスをかわしてChromeのハッキングに成功した研究者に2万ドルの賞金を贈呈すると表明しているが、現時点でまだChromeは破られていないとみられる。