【賞金1万$】Macハッキングコンテストがまた開催
1 :名称未設定:
バグ発見の懸賞プログラム「Zero Day Initiative」を運営するTippingPointが、
2台の「MacBook Pro」のうちの1台を乗っ取ったハッカーに対し、
1万ドルを支払うと申し出ているのだ。標的となるコンピュータは
無線アクセスポイントに接続してあり、Appleが米国時間4月19日に発表した、
25個の脆弱性に対応するセキュリティアップデートも含め、パッチはすべて当ててある。
http://japan.cnet.com/news/sec/story/0,2000056024,20347598,00.htm
Macは脆弱ですよ。使っている人が少ないからなかなか見つからないだけです。
前回同様今回もまた簡単に見つかるでしょうね(笑)
2台の「MacBook Pro」のうちの1台を乗っ取ったハッカーに対し、
1万ドルを支払うと申し出ているのだ。標的となるコンピュータは
無線アクセスポイントに接続してあり、Appleが米国時間4月19日に発表した、
25個の脆弱性に対応するセキュリティアップデートも含め、パッチはすべて当ててある。
http://japan.cnet.com/news/sec/story/0,2000056024,20347598,00.htm
Macは脆弱ですよ。使っている人が少ないからなかなか見つからないだけです。
前回同様今回もまた簡単に見つかるでしょうね(笑)
|
|
|
以上、現場からスティーヴ・バルマーがお送りしました。
ん?もう終わったんじゃないの。これ。
以前アップルでバグ調べしてた人がつくったプログラムかなんかを利用した人が
1万ドル貰ってなかった?
以前アップルでバグ調べしてた人がつくったプログラムかなんかを利用した人が
1万ドル貰ってなかった?
>>1はMacは脆弱という考えを改めて
電子機器全般が脆弱であるということを理解した方が良い。
電子機器全般が脆弱であるということを理解した方が良い。
>>1も脆弱
6 :名称未設定:2007/04/25(水) 11:36:20 ID:yJzR0GHN0
「Macハッキング・コンテスト」で優勝者に賞金1万ドル――あらためて実証されたMac環境の危険な脆弱性
カナダのバンクーバーで開催されたセキュリティ・コンファレンス「CanSecWest Vancouver 2007」(4月18〜20日)で初めて実施されたハッキング・コンテストでは、「Mac」への侵入を果たしたハッカーが1万ドルの賞金を獲得した。
http://opentechpress.jp/security/article.pl?sid=07/04/23/0924235
カナダのバンクーバーで開催されたセキュリティ・コンファレンス「CanSecWest Vancouver 2007」(4月18〜20日)で初めて実施されたハッキング・コンテストでは、「Mac」への侵入を果たしたハッカーが1万ドルの賞金を獲得した。
http://opentechpress.jp/security/article.pl?sid=07/04/23/0924235
7 :名称未設定:2007/04/25(水) 11:50:49 ID:Y6BcZ5Q30
>>6
>このハッカーは、AppleのWebブラウザ「Safari」に存在するセキュリティ・ホールを
>ターゲットにしてコンテストに優勝したという。
デフォルトブラウザがfirefoxの俺は、もっと危険なのかな?
>このハッカーは、AppleのWebブラウザ「Safari」に存在するセキュリティ・ホールを
>ターゲットにしてコンテストに優勝したという。
デフォルトブラウザがfirefoxの俺は、もっと危険なのかな?
8 :名称未設定:2007/04/25(水) 11:53:23 ID:Y6BcZ5Q30
>>6
> コンテスト参加者は当初、無線アクセス・ポイントを経由して、
>何のプログラムも動作していない2台のMacに接続するよう求められていた。
>だがこれに成功した者が1人も出なかったため、コンファレンス運営者らは、
>参加者が電子メールでURLを送信することで、Webブラウザ経由で当該のMacに
>アクセスすることを許可した。
これって、OSはほぼ完璧だと言っているようなものなのかな?
> コンテスト参加者は当初、無線アクセス・ポイントを経由して、
>何のプログラムも動作していない2台のMacに接続するよう求められていた。
>だがこれに成功した者が1人も出なかったため、コンファレンス運営者らは、
>参加者が電子メールでURLを送信することで、Webブラウザ経由で当該のMacに
>アクセスすることを許可した。
これって、OSはほぼ完璧だと言っているようなものなのかな?
9 :名称未設定:2007/04/25(水) 11:54:47 ID:NbfgLjMDO
具体的に実際にどんなダメージを与えたのかな?
バックドアでコンポーネントにアクセスして、その後どうしたの?
バックドアでコンポーネントにアクセスして、その後どうしたの?
10 :名称未設定:2007/04/25(水) 11:55:10 ID:HZw+AI/k0
早よおまいら、セキュリティ・ホールとは無縁な、Vistaに乗り換えろ。
11 :名称未設定:2007/04/25(水) 11:58:49 ID:NbfgLjMDO
抽象的過ぎて具体的じゃない所にイベントを成功させたいと言う主催者側の思惑が感じとれるんだが…
12 :名称未設定:2007/04/25(水) 12:17:02 ID:yiLt0kS/O
主催がアンチじゃないから、何とも思わんなぁ。
実証コードは非公開で、そのままappleにバグレポートとか。
単純にMacプログラマ圏を盛り上げたかったんだろ。
実証コードは非公開で、そのままappleにバグレポートとか。
単純にMacプログラマ圏を盛り上げたかったんだろ。
13 :名称未設定:2007/04/25(水) 12:30:40 ID:yJzR0GHN0
> CanSecWestをはじめ複数のセキュリティ関連コンファレンスで運営主任者を務めてきたドラゴス・ルイウ氏は、
>「OS Xを使用しているユーザーで、Macの安全性を口にする人は非常に多いが、実際のところ、AppleよりMicrosoftのほうがセキュリティ向上に力を入れている」と述べた。
> 以前から自分の侵入テクニックに自信を持っていたハッカーにとって、今回のコンテストは腕の見せ所だったようだ。
>「これまでも、Macに侵入するのがいかに容易であるかを指摘する人と何度も出会ったことがある」(ルイウ氏)
>「OpenBSD」プロジェクトのリーダーであり、先のコンファレンスにも出席したテオ・デ・ラート氏は、
>「脆弱性の暴露に際してきわめて強硬な法的措置を取る」Appleの体質についても言及した。
> 「ハッカーがAppleから受け取った脅迫まがいの書簡を公開し始めれば、同社こそが“悪者”であるように見えてしまい、痛手を被ることになるだろう」
>と同氏は懸念を示している。
http://opentechpress.jp/security/article.pl?sid=07/04/23/0924235
>「OS Xを使用しているユーザーで、Macの安全性を口にする人は非常に多いが、実際のところ、AppleよりMicrosoftのほうがセキュリティ向上に力を入れている」と述べた。
> 以前から自分の侵入テクニックに自信を持っていたハッカーにとって、今回のコンテストは腕の見せ所だったようだ。
>「これまでも、Macに侵入するのがいかに容易であるかを指摘する人と何度も出会ったことがある」(ルイウ氏)
>「OpenBSD」プロジェクトのリーダーであり、先のコンファレンスにも出席したテオ・デ・ラート氏は、
>「脆弱性の暴露に際してきわめて強硬な法的措置を取る」Appleの体質についても言及した。
> 「ハッカーがAppleから受け取った脅迫まがいの書簡を公開し始めれば、同社こそが“悪者”であるように見えてしまい、痛手を被ることになるだろう」
>と同氏は懸念を示している。
http://opentechpress.jp/security/article.pl?sid=07/04/23/0924235
14 :名称未設定:2007/04/25(水) 14:32:38 ID:NbfgLjMDO
じゃ、Windowsの方が安全なの?
>>13
いくら力を入れてもそれと同じ位Winに力を入れるハカーがいるのにな。
いくら力を入れてもそれと同じ位Winに力を入れるハカーがいるのにな。
うんにゃ、肝心のもう一台のMBPのroot権限をハックするのがまだだ。
こっちが肝心だろ。。。これができたら素直にすごいと思う。
>1みたいなウィルスに脳がやられてるアホにはハッキングできんがね。
こっちが肝心だろ。。。これができたら素直にすごいと思う。
>1みたいなウィルスに脳がやられてるアホにはハッキングできんがね。
エアバックがついてても、衝撃吸収ボディを採用していても、それらを搭載していなくても、崖から落ちれば結果は同じだ。
という例え話。
という例え話。
18 :名称未設定:2007/04/25(水) 19:30:33 ID:yJzR0GHN0
「QuickTime」に脆弱性--Macのハッキングコンテストで明らかに
Macをハッキングするコンテストが先週開催され、1台の「MacBook」がハッキングされた。
これに利用されたセキュリティホールは、Appleのメディアプレーヤー「QuickTime」に存在していたという。
この脆弱性の発見者が米国時間4月24日に明らかにした。
セキュリティ研究者であるDino Dai Zovi氏によると、この脆弱性はQuickTimeによるJavaの処理に関連したものだという。
攻撃者は「Safari」もしくは「Firefox」を通じてこの脆弱性を悪用できると、同氏は語っている。
当初の報告では、この脆弱性はAppleのウェブブラウザであるSafariに存在するものだとされていた。
Dai Zovi氏は、「この脆弱性はQuickTimeに存在する。Mac OS XのSafariとFirefoxが攻撃を受けやすくなっている」と語っている。
同氏によると、QuickTimeはWindowsマシンでも幅広く利用されているため、Windowsユーザーにも危険があるかもしれないという。
「現時点では、WindowsのFirefoxは危険だと思う」とDai Zovi氏は語っている。
http://japan.cnet.com/news/sec/story/0,2000056024,20347804,00.htm
Macをハッキングするコンテストが先週開催され、1台の「MacBook」がハッキングされた。
これに利用されたセキュリティホールは、Appleのメディアプレーヤー「QuickTime」に存在していたという。
この脆弱性の発見者が米国時間4月24日に明らかにした。
セキュリティ研究者であるDino Dai Zovi氏によると、この脆弱性はQuickTimeによるJavaの処理に関連したものだという。
攻撃者は「Safari」もしくは「Firefox」を通じてこの脆弱性を悪用できると、同氏は語っている。
当初の報告では、この脆弱性はAppleのウェブブラウザであるSafariに存在するものだとされていた。
Dai Zovi氏は、「この脆弱性はQuickTimeに存在する。Mac OS XのSafariとFirefoxが攻撃を受けやすくなっている」と語っている。
同氏によると、QuickTimeはWindowsマシンでも幅広く利用されているため、Windowsユーザーにも危険があるかもしれないという。
「現時点では、WindowsのFirefoxは危険だと思う」とDai Zovi氏は語っている。
http://japan.cnet.com/news/sec/story/0,2000056024,20347804,00.htm
>>17
> エアバックがついてても、衝撃吸収ボディを採用していても、それらを搭載していなくても、崖から落ちれば結果は同じだ。
> という例え話。
つまりどういうこと?
何を言いたいのか分らない。
まさか、エアバッグが意味が無いとは言わないよな?
> エアバックがついてても、衝撃吸収ボディを採用していても、それらを搭載していなくても、崖から落ちれば結果は同じだ。
> という例え話。
つまりどういうこと?
何を言いたいのか分らない。
まさか、エアバッグが意味が無いとは言わないよな?
> セキュリティ研究者であるDino Dai Zovi氏によると、この脆弱性はQuickTimeによるJavaの処理に関連したものだという。
>攻撃者は「Safari」もしくは「Firefox」を通じてこの脆弱性を悪用できると、同氏は語っている。
>当初の報告では、この脆弱性はAppleのウェブブラウザであるSafariに存在するものだとされていた。
これが真実であると一体どうして証明するんだろうね?ひょっとしてアメ公の口車に乗せられてるか…
>攻撃者は「Safari」もしくは「Firefox」を通じてこの脆弱性を悪用できると、同氏は語っている。
>当初の報告では、この脆弱性はAppleのウェブブラウザであるSafariに存在するものだとされていた。
これが真実であると一体どうして証明するんだろうね?ひょっとしてアメ公の口車に乗せられてるか…
21 :Captain Herlock:2007/04/25(水) 21:46:49 ID:cv+AdHBn0
22 :名称未設定:2007/04/25(水) 22:16:00 ID:AC50PenB0
ダメージを受けるのはカレントユーザーのみだろ。
システムは改変できない。
システムは改変できない。
カレントユーザーのみでも大きなダメージだろw
重要なのは再インストールすれば解決のシステムよりも
個人情報満載、消えても復活できないカレントユーザーのデータの方だ。
重要なのは再インストールすれば解決のシステムよりも
個人情報満載、消えても復活できないカレントユーザーのデータの方だ。
これだから頭が悪いね。
カレントユーザーの重要なデータを
メールで送信されるとか他にも考えつかないのか?
カレントユーザーの重要なデータを
メールで送信されるとか他にも考えつかないのか?
>>25
他にはまったく考えつかないな。
他にはまったく考えつかないな。
カレントユーザーの重要なデータって・・・
カレントユーザーに重要なデータを入れる方がアホだろ。。
メインPCでWinnyやってるようなもんだぞ。
あほだなぁ
カレントユーザーに重要なデータを入れる方がアホだろ。。
メインPCでWinnyやってるようなもんだぞ。
あほだなぁ
カレントユーザーに重要なデータ(個人情報等)を入れないで
どこに入れるんだよw
どこに入れるんだよw
Macではメール以外にデータが流出する可能性はないの?
あるよ。
たとえばこのハッキングコンテストで見つかった
脆弱性を利用してアプリを送り込まれれば、
どっかのアップローダにアップしたり、
勝手にフォルダを共有したり、
ありとあらゆるプロトコルで流出可能になる。
たとえばこのハッキングコンテストで見つかった
脆弱性を利用してアプリを送り込まれれば、
どっかのアップローダにアップしたり、
勝手にフォルダを共有したり、
ありとあらゆるプロトコルで流出可能になる。
初歩的な事かもしれないけど、こういう会話が大事だと思います。
>>19
何を言いたいのか解らないと言っておきながら
>まさか、エアバッグが意味が無いとは言わないよな?
wwwww
装備は重要だけど、一番大事なのはそれを使う人の心がけ。ということです。
エアバックがついているからといって安全運転しないわけじゃないでしょ。
しかしながら
どんなに安全だと思っていても危険は常につきまとうもんだねぇ。
という例え話。・・・・・・。
何を言いたいのか解らないと言っておきながら
>まさか、エアバッグが意味が無いとは言わないよな?
wwwww
装備は重要だけど、一番大事なのはそれを使う人の心がけ。ということです。
エアバックがついているからといって安全運転しないわけじゃないでしょ。
しかしながら
どんなに安全だと思っていても危険は常につきまとうもんだねぇ。
という例え話。・・・・・・。
35 :名称未設定:2007/04/26(木) 15:47:38 ID:n+OSwpgx0
「QuickTime」の脆弱性--Windowsの「IE」にも影響
TippingPointによると、先週行われたMacハッキングコンテストで
「MacBook」への侵入に利用されたセキュリティ脆弱性が、
Windows PCの「Internet Explorer」(IE)にも影響を与えるという。
この脆弱性は当初、Appleの「Safari」と、MacやWindows PCで動作するMozillaの「Firefox」が影響を受けると言われていた。
TippingPointの研究者は、Appleのメディアプレーヤー「QuickTime」に存在するこの脆弱性が、
WindowsのIEにも影響を与えることを確認した。
TippingPointのセキュリティレスポンス担当マネージャーであるTerri Forslof氏は米国時間4月25日の声明で、
「新事実が出てきた。この件がWindowsとMacの両OSに影響し、Windows VistaのInternet Explorerにも影響を与えることを確認した」と述べた。
http://japan.cnet.com/news/sec/story/0,2000056024,20347929,00.htm
TippingPointによると、先週行われたMacハッキングコンテストで
「MacBook」への侵入に利用されたセキュリティ脆弱性が、
Windows PCの「Internet Explorer」(IE)にも影響を与えるという。
この脆弱性は当初、Appleの「Safari」と、MacやWindows PCで動作するMozillaの「Firefox」が影響を受けると言われていた。
TippingPointの研究者は、Appleのメディアプレーヤー「QuickTime」に存在するこの脆弱性が、
WindowsのIEにも影響を与えることを確認した。
TippingPointのセキュリティレスポンス担当マネージャーであるTerri Forslof氏は米国時間4月25日の声明で、
「新事実が出てきた。この件がWindowsとMacの両OSに影響し、Windows VistaのInternet Explorerにも影響を与えることを確認した」と述べた。
http://japan.cnet.com/news/sec/story/0,2000056024,20347929,00.htm
今回見つかった脆弱性ってのがよくわからんが、
パスなしではアプリさえインストールできないのに、一体何をどうできるんだろう。
パスなしではアプリさえインストールできないのに、一体何をどうできるんだろう。
思うんだけど、最近良く見つかるMacOSXの脆弱性って
Unixの部分とかじゃなくて、Appleが独自で作った部分が多くないか?
ちょっと調べてみたけどそうとしか思えない。
よく言われるようにMacOSXのコアのUnix自体は強固かもしれんが、
Appleが追加した部分のおかげで、MacOSXは脆弱になっている気がする。
Unixの部分とかじゃなくて、Appleが独自で作った部分が多くないか?
ちょっと調べてみたけどそうとしか思えない。
よく言われるようにMacOSXのコアのUnix自体は強固かもしれんが、
Appleが追加した部分のおかげで、MacOSXは脆弱になっている気がする。
>36
こういうのじゃね?
バッファオーバーラン - Wikipedia
http://ja.wikipedia.org/wiki/%E3%83%90%E3%83%83%E3%83%95%E3%82%A1%E3%82%AA%E3%83%BC%E3%83%90%E3%83%BC%E3%83%A9%E3%83%B3
バッファオーバーフローとは 【buffer over-flow】 : IT用語辞典
http://e-words.jp/w/E38390E38383E38395E382A1E382AAE383BCE38390E383BCE38395E383ADE383BC.html
こういうのじゃね?
バッファオーバーラン - Wikipedia
http://ja.wikipedia.org/wiki/%E3%83%90%E3%83%83%E3%83%95%E3%82%A1%E3%82%AA%E3%83%BC%E3%83%90%E3%83%BC%E3%83%A9%E3%83%B3
バッファオーバーフローとは 【buffer over-flow】 : IT用語辞典
http://e-words.jp/w/E38390E38383E38395E382A1E382AAE383BCE38390E383BCE38395E383ADE383BC.html
42 :名称未設定:2007/04/29(日) 19:27:20 ID:muPBAlCx0
MacOSXは実は脆弱
Windowsほどではないが。
ヘルプメッセージとかアニメカーソルの脆弱性で
システム乗っとりとか。
ヘルプメッセージとかアニメカーソルの脆弱性で
システム乗っとりとか。
>AppleよりMicrosoftのほうがセキュリティ向上に力を入れている」と述べた。
そりゃそうだろう。
セキュリティがもともと低いから
向上に力を入れにゃならん
そりゃそうだろう。
セキュリティがもともと低いから
向上に力を入れにゃならん
MacOSXの脆弱な所って、
Unixの所じゃなくて、
Appleが作った所ばっかりじゃね?
たとえば今回のは、QuickTimeだしださ。
Unixの所じゃなくて、
Appleが作った所ばっかりじゃね?
たとえば今回のは、QuickTimeだしださ。
そんな訳ないだろ
ウニクスだって人が作ったもの
間違いは誰にでもある。
まあOSXに関しては
Appleに関連して修正する所もあるだろうが
そればっかりじゃない。
所詮はシェルだから。
間違いは誰にでもある。
まあOSXに関しては
Appleに関連して修正する所もあるだろうが
そればっかりじゃない。
所詮はシェルだから。