【セキュリティ】あなたのお気に入りのブラウザがさっきハックされた、でもご安心を@Next2ch

あなたの“お気に入り”のブラウザがどうやってぼくに分かるのか？　
でも、実はそんなことはどーでもよい。人気上位の4つのブラウザ
ChromeとInternet ExplorerとFirefoxとSafariがどれも、先ほど、見事にやられてしまったのだ。

今週（3/15-21）は今年の（第8回の）Pwn2Ownが開かれ
世界中から集まったセキュリティの研究者たちが、その腕前を競った。
今回の勝負は、人気ブラウザの最新のビルドをいためつけること。成功すると巨額の賞金がもらえる。

ただし、その手口の詳細は、ブラウザのメーカーがその穴にパッチを当てるまでは公開されない。
だから、あなたをはじめ、一般ユーザが被害に遭う可能性は限りなく小さい。

たとえばMozillaは、Firefoxのパッチを今日（米国時間3/20）じゅうに当てる、と言っている。
ほかの3社は、本誌からの問い合わせにまだ返事をくれない。

Pwn2Ownにおける、ブラウザ侵犯（エクスプロイト, exploit）の定義は簡単明瞭で
“プログラムの標準的な実行パスを変えて、任意の命令を実行可能にすること”、だ。

言い換えると、ブラウザのセキュリティを破って、想定外のコードを実行させること。
ただし、そのエクスプロイトはユーザとの対話をしてはいけないが
“ユーザが悪質なコンテンツを閲覧するために必要なアクション”、なら許される。

挑戦者は、自分がまだ触ったことのないマシンの上で30分の時間を与えられる。
各マシンの上のオペレーティングシステムは、完全にセキュリティパッチが当てられている。
というよりバグは数日間/数週間にわたる調査研究の結果見つけたものであり
当日のわずか30分で見つけるというものではない。

各ブラウザの結果はこうだった:

Internet Explorerでは4つのバグが見つかった（Windows 8.1上）
Mozilla Firefoxでは3つのバグが見つかった（Windows 8.1上）
Safariでは2つのバグが見つかった（OS X Yosemite上）
Chromeでは1つのバグが見つかった（Windows 8.1上）

(注記: “ふん！ぼくはOperaを使ってるもんね！”と言いたいあなた
Operaは2013年5月以降Chrome/Chromiumがベースなのだ。
ChromeのバグはOperaにも影響を与えるだろう。)

なお、このカンファレンスに集まった研究者たちは
Adobe ReaderとFlashとWindowsに対するエクスプロイトもデモした。

Chromeに1つだけ見つかったバグは、このコンテスト始まって以来の最高賞金額11万ドルを獲得した。
Chromeは犯しにくいブラウザとして悪名高いので、これまでも賞金額は最高だったが
今回は研究者のJungHoon Leeが、そのボーナスをもらうことになった。
内訳は、バグを見つけたことに75000ドル
自分のコードをシステムレベルで走らせたことに25000ドル
そしてそのバグがChromeのベータビルドにもあったために追加の10000ドルだ。

JungHoonは、Safariのバグの発見にも貢献して50000ドル
IE11でも貢献して65000ドルを獲得し、一日で22万5000ドルを稼いだ。悪くない一日だったね。

2日間のコンペで、総額55万7500ドルが賞金として支払われた。

以下ソース
http://jp.techcrunch.com/2015/03/21/20150320your-favorite-browser-just-got-hacked-but-dont-panic/

Firefoxは早速パッチを当ててバージョンあげてたな

一応ここも貼っておく
https://cansecwest.com/sponsors.html