ハッキングコンペ開催、挑戦者がGoogle Chrome破りに成功

GoogleとTippingPointが別々に開催しているWebブラウザのハッキングコンペで、挑戦者がGoogle Chromeのセキュリティ破りに成功。6万ドルの高額賞金を獲得した。

» 2012年03月09日 07時35分 公開
[鈴木聖子,ITmedia]

 セキュリティカンファレンス「CanSecWest」の会場で開かれたGoogle主催のWebブラウザハッキングコンペで、挑戦者がGoogle Chromeの“セキュリティ破り”に成功し、6万ドル(約489万円)の高額賞金を獲得した。これとは別にTippingPoint主催のコンペ「Pwn2Own」でも、セキュリティ企業がChromeをはじめとする主要ブラウザのハッキングに成功。Googleは3月8日、脆弱性を修正したChrome安定版のアップデートを公開した。

 Googleの担当者がGoogle+に掲載した情報によると、挑戦者のセルゲイ・グラズノフ氏は7日、Chrome自体の脆弱性のみを使ってセキュリティを破る「Full Chrome exploit」に成功し、最高額の賞金6万ドルを授与された。

 8日に公開されたChrome安定版のアップデート「17.0.963.78」では、グラズノフ氏がハッキングに使った脆弱性が修正されたほか、Flashゲームとビデオに関する不具合に対処している。

 一方、Pwn2OwnのステータスページやTwitterによれば、同コンペではセキュリティ企業のVUPENが開始から5分でChromeのセキュリティ破りに成功。これまで知られていなかった脆弱性を突いてChromeのサンドボックスをかわし、コードを実行した。

 VUPENはこのほかにInternet Explorer(IE)、Firefox、Safariの脆弱性を突くことにも成功。Twitterで「Pwn2Own初日で全てのWebブラウザをハッキングした」と成果を報告している。

 CanSecWestで開催されるハッキングコンペでは、Googleも2011年までPwn2Ownに参加して賞金を提供していたが、今年はPwn2Ownのスポンサーを降板し、Chromeのみを対象とした独自のコンペを開催した。その理由として、Pwn2Ownで「ハッキングに利用した脆弱性などの情報をベンダーに全面開示することを参加者に義務付けた条項が外されたためだ」と説明している。

関連キーワード

Google | ハッキング | Google Chrome | 挑戦 | TippingPoint


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ