オープンソースソフトウェア「Unix Daemon」のSMTPサーバ「OpenSMTPD」上で、ルート権限の昇格およびリモートコード実行(RCE、Remote Code Execution)を可能にする脆弱性「CVE-2020-8794」が確認されました。この脆弱性は、境界外読み取りに起因するものであり、攻撃者は、これを悪用することで脆弱なシステム上で任意のコードを実行できます。
続きを読むトレンドマイクロ運営のセキュリティ研究機関Zero Day Initiative(ZDI)が開催するハッキングコンテスト「Pwn2Own」は、この12年間で大きく成長し、進化し続けています。バンクーバーを拠点とするこのハッキングコンテストは、コンテストの対象がWebブラウザから始まり、現在では仮想化ソフトウェアや法人向けアプリケーションまで扱っています。2012年には、モバイルデバイスも追加しました。以降、さらにさまざまなタイプのデバイスを扱うまでに進化し、2019年8月に東京で実施された際には、無線ルータ、Webカメラ、スマートテレビのセキュリティ侵害も扱いました。そして今回のPwn2Ownは2020年1月21〜23日に、産業制御システム(ICS)のセキュリティを扱う「S4カンファレンス」内で開催されます。これは、Pwn2Ownにとってさらなる成長を遂げること、つまり新たにICSをコンテストの対象とすることを意味します。Pwn2OwnでICSを扱うかどうかについては長年議論されてきており、多くの課題に直面してきました。課題を克服するため、Pwn2Ownの主催者であるZDIは、ICS業界の専門家や企業と協力し、ICS製品やプロトコルのセキュリティに関連する意味のあるコンテストを目指し、製品と関連部門の選定に尽力しました。これまでのコンテストと同様、今回も、脆弱性を明らかにし、調査結果をベンダーに提供することで、プラットフォームのセキュリティ強化に努めています。主催者の目標は、これまでと変わらず「脆弱性が攻撃者に悪用される前に修正する」という点に尽きます。
