PWN2OWN VANCOUVER 2023

ほぼこもセキュリティニュース By Terilogy Worx

Pwn2Ownが今年も開催されました。
例年通り多くの脆弱性が確認されています。
コンテストで多くの脆弱性が概念実証デモを実施されています。
新たなものであると認定されたものが多数ありますし、確認の結果既知の脆弱性だと判定されたものもありました。
いくつか見てみましょう。

  • Teslaのゲートウェイエネルギー管理システムの脆弱性
    Teslaのゲートウェイエネルギー管理システムに対してTOCTTOU攻撃として知られる攻撃が実演されました。
    この脆弱性の悪用により、Tesla Model3のフロントトランクやドアを走行中に開けることができてしまいます。
    この攻撃の侵入部分には2分もかかっていませんでした。
    新たな脆弱性と判定されました。

     

  • Teslaのサブシステムへのディープアクセスの脆弱性
    Teslaのインフォテインメントシステムに侵入するデモが実演されました。
    侵入後他のサブシステムの特権アクセスを取得できてしまっています。
    新たな脆弱性と判定されました。

     

  • Adobe Readerの脆弱性
    サンドボックスをエスケープし、禁止されたAPIリストをバイパスする複数の失敗したパッチを悪用する6つのバグロジックチェーンを使用する方法が実演されました。
    新たな脆弱性と判定されました。

     

  • Oracle VirtualBoxの脆弱性
    OOB Readとスタックベースのバッファオーバーフローを使用する方法が実演されました。
    新たな脆弱性と判定されました。

他にもいくつもの新しい脆弱性がデモされました。
これらの確認された脆弱性についての詳細情報は現時点では無制限の公表はされていません。
脆弱性に関連する組織に詳細情報が伝えられています。
そして90日間の猶予の中でそれぞれの脆弱性の対策が提供されていくことになります。

脆弱性は日々発見され対策が提供されていきます。
適用できるものはタイムリーに適用していきたいものです。

参考記事(外部リンク):PWN2OWN VANCOUVER 2023 – DAY THREE RESULTS
www.zerodayinitiative.com/blog/2023/3/24/pwn2own-vancouver-2023-day