ハッキング大会でWindows 11に6つ、Teamsに3つの脆弱性が報告される

　5月18日から20日にかけて開催されたハッキングコンテスト「Pwn2Own Vancouver 2022」の結果が発表された。

　Pwn2Ownではスポンサー企業が大会に自社製品を提供し、参加者は制限時間内に対象製品のハッキングに成功すると、発見した脆弱性の内容に応じた賞金と提供されたデバイスを受け取ることができる。

　今大会において最も多くの脆弱性が発見されたのはMicrosoft製品で、Windows 11で6つ、Teamsでは3つの脆弱性についてハッキングが成功しており、参加者には合計39万ドルが支払われている。

　Windows 11では、範囲外書き込み特権の昇格、Use-After-Free(UAF)特権の昇格、整数オーバーフローを介した特権の昇格、特権の昇格につながる不適切なアクセス制御のバグが示された。

　Teamsでは、セキュアでない設定項目と不適切な設定ができてしまう脆弱性、3つのバグを利用したインジェクション攻撃、サンドボックスエスケープと任意のファイルが書き込めるバグが再現された。

　なお、今大会ではMicrosoft2製品のほかにApple「Safari」、Mozilla「Firefox」、Oracle「VirtualBox」、Tesla「Model 3」、「Ubuntu Desktop」がハッキング対象として「お題」に設定されており、Microsoftを含めると合計で18の脆弱性が報告されている。

　これらの脆弱性はいずれも未発表であり、ベンダーに対しては90日間、修正の猶予が与えられている。