【PS3】PlayStation Homeにサーバ上の任意ファイル取得・アップロード・削除を許す脆弱性発覚?
1 :名前は開発中のものです:
壮大な開発サーガを経てついにサービス開始となったソニーの仮想世界コミュニケーションサービス
PlayStation Homeですが、サーバ上の任意コンテンツの取得・削除および任意ファイルのアップロードを
許す脆弱性を見つけたという報告があがっています。手順とスクリプトファイルを公開しているのは
Homeのクライアント解読も発表していた"StreetskaterFU"氏。
技術的背景(というほどでもない)は飛ばして短くいえば、同氏が発見したと主張しているのはHomeの
サーバとPS3側クライアントの通信が暗号化などのセキュリティをほとんど配慮しない設計になっているため、
パケットを乗っ取って(書き換えて) リスクエストを送信することによりサーバー上の任意コンテンツの
ダウンロードおよびローカルから任意ファイルのアップロード、さらに削除が可能になるという内容。
実際に考えられる問題としては、Homeのサーバ側に悪意のあるプログラムをアップロードしてPS3
(Homeクライアント)からではなくほかの機器からアクセスしてサーバ側を攻撃する、あるいはサーバ側の
オリジナルファイルを改竄して例えばバッファオーバーフローといった問題を引き起こすファイルをPS3に
ダウンロードさせる、あるいはLUAやJavaファイルを置き換えて非署名コードをHomeプ ロセスから
実行するといった可能性が指摘されています。
発表者はどちらも実行していないと語りつつ、「この情報を元に実験してみた人がいたとしても責任は
とりません」。ただしサーバ側に任意ファイルを載せられ たとしても、そこから先どこまで進めるか・単なる
コンテンツ書き換え以上の深刻な問題を引き起こすことができるかはまた別の話です (POSTメソッドで
任意ファイルを上げられるのはいくらなんでも想定していないと思われますが、仕様の範囲内で実害は
ありません、という回答もありうる)。またHomeはアバ ターの服や家具といったアイテムを有料で販売する
システムも含んでいますが、そちらについては今回の「脆弱性」公開では触れられていません。
日本以外の国では「オープンβ開始」とされており、普通に使っているだけでもサーバのURL入り
エラーメッセージが出てくる段階のHomeではあるものの、今後はノンゲームも含むパートナー企業と
組んだプロモーションのプラットフォームとなることが期待されるだけに続報とくに実害の有無が
気になる話です。(なお、自前のウェブサーバとDNSリダイレクトを使って任意のコンテンツを
ローカルクライアント上のHome世界に表示・上映する「ハック」もあります。こちらは自分あるいは
わざわざ接続を選んだ相手にしかみえないため比較的無害。「Homeの野良サーバ」的な遊び方は
あるかもしれません)。
ソース
http://japanese.engadget.com/2008/12/15/playstation-home/
PlayStation Homeですが、サーバ上の任意コンテンツの取得・削除および任意ファイルのアップロードを
許す脆弱性を見つけたという報告があがっています。手順とスクリプトファイルを公開しているのは
Homeのクライアント解読も発表していた"StreetskaterFU"氏。
技術的背景(というほどでもない)は飛ばして短くいえば、同氏が発見したと主張しているのはHomeの
サーバとPS3側クライアントの通信が暗号化などのセキュリティをほとんど配慮しない設計になっているため、
パケットを乗っ取って(書き換えて) リスクエストを送信することによりサーバー上の任意コンテンツの
ダウンロードおよびローカルから任意ファイルのアップロード、さらに削除が可能になるという内容。
実際に考えられる問題としては、Homeのサーバ側に悪意のあるプログラムをアップロードしてPS3
(Homeクライアント)からではなくほかの機器からアクセスしてサーバ側を攻撃する、あるいはサーバ側の
オリジナルファイルを改竄して例えばバッファオーバーフローといった問題を引き起こすファイルをPS3に
ダウンロードさせる、あるいはLUAやJavaファイルを置き換えて非署名コードをHomeプ ロセスから
実行するといった可能性が指摘されています。
発表者はどちらも実行していないと語りつつ、「この情報を元に実験してみた人がいたとしても責任は
とりません」。ただしサーバ側に任意ファイルを載せられ たとしても、そこから先どこまで進めるか・単なる
コンテンツ書き換え以上の深刻な問題を引き起こすことができるかはまた別の話です (POSTメソッドで
任意ファイルを上げられるのはいくらなんでも想定していないと思われますが、仕様の範囲内で実害は
ありません、という回答もありうる)。またHomeはアバ ターの服や家具といったアイテムを有料で販売する
システムも含んでいますが、そちらについては今回の「脆弱性」公開では触れられていません。
日本以外の国では「オープンβ開始」とされており、普通に使っているだけでもサーバのURL入り
エラーメッセージが出てくる段階のHomeではあるものの、今後はノンゲームも含むパートナー企業と
組んだプロモーションのプラットフォームとなることが期待されるだけに続報とくに実害の有無が
気になる話です。(なお、自前のウェブサーバとDNSリダイレクトを使って任意のコンテンツを
ローカルクライアント上のHome世界に表示・上映する「ハック」もあります。こちらは自分あるいは
わざわざ接続を選んだ相手にしかみえないため比較的無害。「Homeの野良サーバ」的な遊び方は
あるかもしれません)。
ソース
http://japanese.engadget.com/2008/12/15/playstation-home/
|
|
|
2 :名前は開発中のものです:2008/12/15(月) 19:13:02 ID:UpLeQIvG
2ゲット
3 :名前は開発中のものです:2008/12/15(月) 19:13:55 ID:UD6I8YwD
だめじゃん
4 :名前は開発中のものです:2008/12/15(月) 19:17:29 ID:ARBVeKnf
糞すぎる
5 :名前は開発中のものです:2008/12/15(月) 19:18:51 ID:J3jZXHu0
そんなことより女アバターと見ればナンパしてるバカをなんとかしろw
6 :名前は開発中のものです:2008/12/15(月) 19:29:45 ID:X46eVV7b
どこにでもいるんだなそんなやつ・・・
HOMEは今のままじゃ止めた方がいいよ。
読み込みが遅すぎてうんざりするよ。
読み込みが遅すぎてうんざりするよ。
8 :名前は開発中のものです:2008/12/15(月) 20:08:01 ID:CSMDpWae
>>7やらなきゃいいじゃん
9 :名前は開発中のものです:2008/12/15(月) 20:15:06 ID:yIcxQdeq
>>8
同意。別に反レスしてまでHomeやる必要性は全く無いよなw
同意。別に反レスしてまでHomeやる必要性は全く無いよなw
10 :名前は開発中のものです:2008/12/15(月) 20:17:15 ID:2z/WOC/7
うんうん。やらなきゃいい。
ただ改善はするべきという声は必要ですよね。
ただ改善はするべきという声は必要ですよね。
11 :名前は開発中のものです:2008/12/15(月) 20:27:08 ID:O4ygQXJ1
糞二―終わってるな
絶賛するやつ意外はアンチとする!
13 :名前は開発中のものです:2008/12/15(月) 20:54:14 ID:0gAHrZH4
信者最後の言葉「やらなきゃいい」
14 :名前は開発中のものです:2008/12/15(月) 21:05:23 ID:UpLeQIvG
やらなきゃいいしやってる意味も無いから
被害拡大を食い止めるために早めにサーバ終了させた方がいいんじゃないの?
被害拡大を食い止めるために早めにサーバ終了させた方がいいんじゃないの?
15 :名前は開発中のものです:2008/12/15(月) 21:59:36 ID:Ify86ajD
16 :名前は開発中のものです:2008/12/15(月) 21:59:41 ID:8LPVwzKg
むしろサーバを止めたいソニーw
17 :名前は開発中のものです:2008/12/15(月) 22:06:21 ID:9WXYy/hC
3行目まで読んだ
18 :名前は開発中のものです:2008/12/15(月) 22:43:30 ID:vjUgQvAF
19 :名前は開発中のものです:2008/12/15(月) 23:09:41 ID:VDcrEmn/
シアター中に「LOL(爆笑)」のロゴが張られている様子
ttp://jp.youtube.com/watch?v=pAyan8EHdtY
ttp://jp.youtube.com/watch?v=pAyan8EHdtY
20 :名前は開発中のものです:2008/12/16(火) 10:23:15 ID:ZzjCkaw+
女アバで踊るだけで男が集まって楽しいね
21 :名前は開発中のものです:2008/12/16(火) 10:27:12 ID:SmiIb/8s
技術(笑)のソニー
22 :名前は開発中のものです:2008/12/16(火) 10:37:09 ID:805W1S+/
>同氏が発見したと主張しているのはHomeのサーバとPS3側クライアントの通信が
暗号化などのセキュリティをほとんど配慮しない設計になっているため
マジならすごい手抜きして作ったものだな
暗号化などのセキュリティをほとんど配慮しない設計になっているため
マジならすごい手抜きして作ったものだな
よ、よし!
これを理由に撤退だ!今なら被害者顔できるぞ!
これを理由に撤退だ!今なら被害者顔できるぞ!
24 :名前は開発中のものです:2008/12/16(火) 12:34:18 ID:Xx4OcKPR
世界のソニーw
25 :名前は開発中のものです:2008/12/16(火) 13:28:57 ID:H6SPmVLp
2500億円の返済が出来なくて潰れそうなSONYw
26 :名前は開発中のものです:2008/12/16(火) 13:35:11 ID:H6SPmVLp
SONYは2500億円を市場から調達して倒産するのかな?w
27 :名前は開発中のものです:2008/12/17(水) 12:36:03 ID:aHdqnVmU
脆弱脆弱ゥ!
28 :名前は開発中のものです:2008/12/19(金) 15:37:16 ID:3m4S879o
こうなったらヤザワのタオル同梱のPS3を発売するんだ
29 :名前は開発中のものです:2008/12/19(金) 15:47:26 ID:lXodeG37
正直、電気代食うし、いらないんだよね、PS3
不具合出て回収してくれないかな、返品って形で
不具合出て回収してくれないかな、返品って形で
30 :名前は開発中のものです:2008/12/22(月) 09:17:07 ID:QlzSjzmT
終わってるなこれw さっさと直せよ
31 :名前は開発中のものです:2008/12/22(月) 09:35:10 ID:OAFYToHk
こんなのに金出して広告のせる企業なんか居ないだろ
消えるアイテムは解決したの?
消えるアイテムは解決したの?
32 :名前は開発中のものです:2008/12/22(月) 09:54:25 ID:ryQal/ZR
ちゅーか、なんでhomeって、「やる!」って言ったときは、
あんなにPS3の目玉として大々的に宣伝してたのに、
実際に始めるときは、コッソリ隠れるように誰にも知られないように
始めたの?
なんか、逆に衝撃的だった
あんなにPS3の目玉として大々的に宣伝してたのに、
実際に始めるときは、コッソリ隠れるように誰にも知られないように
始めたの?
なんか、逆に衝撃的だった
33 :名前は開発中のものです:2008/12/22(月) 09:59:10 ID:8vQXVl37
>>24
/イイVNNN/∧∨ム. 、
/イイイVVVVV/∧∨レレムム、
/|/\|VVVVV/∧∨イイイ∠イム、
/|/ \|VV/∧|/イイイ∠イイイト.、
/|/ YY/ソ'´ ∠イイイN
VN ∠イイイN.
|/ \ イ/ ∠イイイN/
N f==ミトル从 t-、_ \トトイNy、
|! ィ!チゝ》} ミ y≧、ミ、 NNレ'´ ノ.
〈. 三ノ \”´彡 Y/〃/
{ / |// / . .
ト、 f {_ ⌒ヽ |!_ノ. . .
ヽ | / ゝY⌒''''`\ _,,..' !| .
';; ト、;:;:;:;: ;: ;:;:;:_, 》 : : : : :/\ リストラのソニーって言うじゃないw
/ .) ./';; \`ミニ-''´ /: : : : : : /.|! \
/ ./_...- '''´ ';;; : . .. ̄ ノ: : : : : :/ || へ_
_,/ .ノ __ ヾ;.: : : : : : : : : : : :/ /|
/ >'´__\ /⌒} | ヾ;,;,;,;,;,;;;;;;;彡'´ / !
'´ / 、\\ノ |/⌒ヽ ̄ ̄ ,..ィ⌒ヽ,|
/イイVNNN/∧∨ム. 、
/イイイVVVVV/∧∨レレムム、
/|/\|VVVVV/∧∨イイイ∠イム、
/|/ \|VV/∧|/イイイ∠イイイト.、
/|/ YY/ソ'´ ∠イイイN
VN ∠イイイN.
|/ \ イ/ ∠イイイN/
N f==ミトル从 t-、_ \トトイNy、
|! ィ!チゝ》} ミ y≧、ミ、 NNレ'´ ノ.
〈. 三ノ \”´彡 Y/〃/
{ / |// / . .
ト、 f {_ ⌒ヽ |!_ノ. . .
ヽ | / ゝY⌒''''`\ _,,..' !| .
';; ト、;:;:;:;: ;: ;:;:;:_, 》 : : : : :/\ リストラのソニーって言うじゃないw
/ .) ./';; \`ミニ-''´ /: : : : : : /.|! \
/ ./_...- '''´ ';;; : . .. ̄ ノ: : : : : :/ || へ_
_,/ .ノ __ ヾ;.: : : : : : : : : : : :/ /|
/ >'´__\ /⌒} | ヾ;,;,;,;,;,;;;;;;;彡'´ / !
'´ / 、\\ノ |/⌒ヽ ̄ ̄ ,..ィ⌒ヽ,|
34 :名前は開発中のものです:2008/12/22(月) 10:25:13 ID:Z0EFafjD
↑似てねーな
35 :名前は開発中のものです:2008/12/22(月) 10:33:29 ID:0LrOURtD
>>32
お前のところにはお知らせがこなかったのか?
お前のところにはお知らせがこなかったのか?
36 :名前は開発中のものです:2008/12/22(月) 11:00:35 ID:+x/Rf4wi
37 :名前は開発中のものです:2008/12/22(月) 11:01:14 ID:bzm0mcjA
さっすが技術のソニー(笑)
38 :名前は開発中のものです:2008/12/22(月) 11:12:48 ID:+ULSWOBc
矢沢はいつリストラされるの?
39 :名前は開発中のものです:2008/12/22(月) 11:54:11 ID:17d/nS1u
よく分かんないけど上手くいけばシアターでAV流せるってこと?
40 :名前は開発中のものです:2008/12/22(月) 12:12:10 ID:zeNOehE9
もしかしたらアバター同士結合させて子供アバターつくることも可能になるのか!
41 :名前は開発中のものです:2008/12/22(月) 12:32:51 ID:q8wqUiEF
>>40
ただし追加料金がかかります
ただし追加料金がかかります
42 :名前は開発中のものです:2008/12/22(月) 13:35:58 ID:0LrOURtD
>>36
どういう宣伝を想像してたんだ?ゲームショウみたいなイベントは当分ないし。
どういう宣伝を想像してたんだ?ゲームショウみたいなイベントは当分ないし。
43 :名前は開発中のものです:2008/12/22(月) 13:43:14 ID:QTHYNG7W
44 :名前は開発中のものです:2008/12/25(木) 11:02:36 ID:y585xVW+
英紙Telegraphは、「Home」がソフトウェアの脆弱性を突いてハッキングされたと伝えた。
http://www.itmedia.co.jp/news/articles/0812/25/news027.html
http://www.itmedia.co.jp/news/articles/0812/25/news027.html
45 :名前は開発中のものです:2008/12/25(木) 11:10:42 ID:2gmWEKoI
セニッ
46 :名前は開発中のものです:2008/12/25(木) 11:25:16 ID:RM8IDUkT
任意にアバターをカスタマイズできるのなら面白そうだな。
47 :名前は開発中のものです:2008/12/25(木) 12:37:39 ID:NPHLnt9f
ソニー何してもだめじゃん!
撤退しろよ
撤退しろよ
48 :名前は開発中のものです:2008/12/25(木) 12:41:02 ID:P0XiKA2N
これmixiニュースにものってたな
49 :名前は開発中のものです:2008/12/26(金) 01:17:49 ID:DQqpbmPn
さすが世界(笑)のソニー
50 :名前は開発中のものです:2008/12/26(金) 01:49:41 ID:B/xq98ZF
有料コンテンツ展開しようとしてんのに暗号化に配慮しないってアホだろwww
51 :名前は開発中のものです:2008/12/26(金) 02:08:58 ID:6S+Y7AEj
ハックされてクレジットカード情報盗まれた360のほうが深刻だけどな。
52 :名前は開発中のものです:2008/12/26(金) 03:03:49 ID:ca53ksoo
だからシアターでAV流せるようになるのかって聞いているのにいいい!
53 :名前は開発中のものです:2008/12/26(金) 03:09:45 ID:Yaw0oSDX
54 :名前は開発中のものです:2008/12/26(金) 03:11:01 ID:ca53ksoo
アカウント流出も十分ヤバいです・・・
55 :名前は開発中のものです:2008/12/26(金) 03:57:30 ID:sDZ9yvYh
き・・・
56 :名前は開発中のものです:2008/12/26(金) 04:07:53 ID:U/wWKYSj
PS3のアホ信者は
PS3に問題があればすべて
Xbox360の話を持ち出してくるが
ただ話をPS3からそらしたいだけじゃねーか。
PS3に問題があればすべて
Xbox360の話を持ち出してくるが
ただ話をPS3からそらしたいだけじゃねーか。
57 :名前は開発中のものです:2008/12/26(金) 08:11:37 ID:uW1Mpo5e
>>56
お互い様
お互い様
58 :名前は開発中のものです:2008/12/26(金) 09:33:49 ID:c1+VMVS7
いわゆるヤキウ(笑)でいうJよりマシですね
59 :名前は開発中のものです:2008/12/26(金) 09:49:41 ID:XHeXsmRl
あれ?カード情報流出ってPS3じゃなかったか?
60 :名前は開発中のものです:2008/12/26(金) 10:53:04 ID:P+pj4Mjm
HOMEの話しをしよーぜ
61 :名前は開発中のものです:2008/12/26(金) 11:32:07 ID:WTjbeToM
ボイチャしてて「話術で」クレカ情報聞き出されたのをハックですか?w
相変わらずPSW住人の情報操作は酷いな
相変わらずPSW住人の情報操作は酷いな
62 :名前は開発中のものです:2008/12/26(金) 11:53:50 ID:xzai3K9W
63 :名前は開発中のものです:2008/12/26(金) 12:03:33 ID:WTjbeToM
>>62
うん、知ってるけど「深刻」とか寝言垂流してるし誤解されやすいからわかりやすくツッコミ
ちなみに話の続きは
MSに報告→それはクレカ会社と教えちゃった相手と話してくれ。悪いけど相手の個人情報は教えられない
→ふざけんなMSのせいだ!裁判起こしてやる!と被害者逆ギレ→現在に至るまで続報なし
2年ぐらい前の話
うん、知ってるけど「深刻」とか寝言垂流してるし誤解されやすいからわかりやすくツッコミ
ちなみに話の続きは
MSに報告→それはクレカ会社と教えちゃった相手と話してくれ。悪いけど相手の個人情報は教えられない
→ふざけんなMSのせいだ!裁判起こしてやる!と被害者逆ギレ→現在に至るまで続報なし
2年ぐらい前の話
64 :名前は開発中のものです:2008/12/26(金) 20:35:43 ID:6S+Y7AEj
65 :名前は開発中のものです:2008/12/26(金) 20:50:33 ID:WTjbeToM
同じ話だよ
一部の海外サイトが「Liveがハックされた!」と騒いだけど上記のオチ
MSも公式にはっきりと否定した
一部の海外サイトが「Liveがハックされた!」と騒いだけど上記のオチ
MSも公式にはっきりと否定した
66 :名前は開発中のものです:2009/02/02(月) 10:37:20 ID:dVPArlty
ソニーってこんなんばっかやな。
67 :名前は開発中のものです:2009/02/02(月) 10:41:22 ID:dGB8mYxb
もうHomeやってるやついねーだろw
68 :名前は開発中のものです:2009/02/02(月) 11:03:18 ID:5opbLPoS
いっぱいいるじゃん。
UFO難しいな報告…
UFO難しいな報告…
69 :名前は開発中のものです:2009/02/02(月) 12:18:35 ID:WNVhZFNt
>>67
よう、ゲームボーイ
よう、ゲームボーイ
70 :名前は開発中のものです:2009/02/02(月) 14:07:20 ID:MntAyyui
>>67
俺は北米在住だから日本鯖のピークタイムにどれだけ人が集まるかは
わからんが北米鯖は賑わってるぞ。
>>65
Liveは実際にクレジットカードやアカウント盗まれたりしてるぞ。
お互い仕返ししたり犯人の家にイタズラ電話してyoutubeに載せたりする奴とかも
いるし。
俺は北米在住だから日本鯖のピークタイムにどれだけ人が集まるかは
わからんが北米鯖は賑わってるぞ。
>>65
Liveは実際にクレジットカードやアカウント盗まれたりしてるぞ。
お互い仕返ししたり犯人の家にイタズラ電話してyoutubeに載せたりする奴とかも
いるし。
71 :名前は開発中のものです:2009/02/24(火) 17:37:36 ID:pzxHuLAl
なんでプロシュート+ペッシvsブチャラティ戦が挙がってないの?
JOJO至上最高の戦闘シーンだろ
JOJO至上最高の戦闘シーンだろ
72 :名前は開発中のものです:2009/03/28(土) 17:05:12 ID:+vOIG1h3
PS3ってなんかこんなのばっかりやねえ。
73 :名前は開発中のものです:2009/05/09(土) 09:13:49 ID:JqTWYoDN
きじゃく性
74 :名前は開発中のものです:2009/05/19(火) 05:58:46 ID:Fmd2O+M1
劣化セカンドライフか
75 :名前は開発中のものです:2009/05/19(火) 15:08:33 ID:6bVivfod
どちらかというとセカンドライフよりハボホテルとかのほうに近いんだが。
76 :名前は開発中のものです:2009/07/08(水) 21:18:05 ID:xBPBwqHH
結局Homeなんて誰もやってないんだし関係ない
77 :名前は開発中のものです:2009/07/08(水) 21:29:27 ID:B6PF2OFd
>>70
Liveのは実は知人だったってオチのヤツじゃないか。
Liveのは実は知人だったってオチのヤツじゃないか。
話術で個人情報を聞き出したりすることを「ソーシャルハック」と言う
それをハックされた!!とか印象操作してるだけ
薄汚いよね
それをハックされた!!とか印象操作してるだけ
薄汚いよね