Shibuya.XSS techtalk #12 の発表資料です。 English version is here: https://speakerdeck.com/masatokinugawa/pwn2own2022
タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
Pwn2OwnでMicrosoft Teamsをハッキングして2000万円を獲得した方法/ Shibuya.XSS techtalk #12
Shibuya.XSS techtalk #12 の発表資料です。 English version is here: https://speakerdeck.com/masatokinugawa/pwn2own2022
「Linux」カーネルでまたも重大な脆弱(ぜいじゃく)性が発見された。この欠陥は「ssh-keysign-pwn」と呼ばれており、Linuxがここ数週間のうちに直面した4番目の注目すべきローカルセキュリティホールとなる。この脆弱性を悪用すれば、一般ユーザーが、「Secure Shell(SSH)」のホスト秘密鍵やパスワードのハッシュ値を格納したシャドウファイルといったシステム上の極めて機密性の高いファイルに密かにアクセス可能になる。 ssh-keysign-pwnという名称は、主な攻撃経路の一つである「OpenSSH」の「ssh-keysign」ヘルパーバイナリーの悪用に由来する。ssh-keysignはホストベース認証に使用されるプログラムで、通常はsetuid rootで実行される。これは、特権を放棄して処理を完了する前に、システムのSSHホスト鍵を開く必要があるためだ。 問題は何か
多くのホンダ車に用いられているリモートキーレスエントリーシステムに、「Rolling PWN」(CVE-2021-46145)と呼ばれる脆弱(ぜいじゃく)性が存在していることが指摘されています。この脆弱性を突くRolling PWN攻撃を行うと、攻撃者は車のロックを解除したり、リモートでエンジンをかけたりすることができます。 Rolling PWN https://rollingpwn.github.io/rolling-pwn/ I Tried the Honda Key Fob Hack on My Own Car. It Totally Worked https://www.thedrive.com/news/i-tried-the-honda-keyfob-hack-on-my-own-car-it-totally-worked I was able to replicate th
世界最大規模のバグバウンティコンテスト・Pwn2Ownの魅力とは?【Masato Kinugawa × 志賀遼太】 - #FlattSecurityMagazine
トレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative」(ZDI)が主催しているバグバウンティコンテスト「Pwn2Own」。対象となるプロダクトの0-day脆弱性を発見し、エクスプロイトに成功すると高額賞金を手に入れることができるという世界最大規模のコンテストで、2007年から毎年開催されています。 今回は、日本からPwn2Ownに出場し実績を残したMasato KinugawaさんとFlatt Security 執行役員 プロフェッショナルサービス事業CTOの志賀遼太の2人に、Pwn2Ownの魅力やコンテストの舞台裏について語り合っていただきました。 プロフィール Masato Kinugawaさん XSSが好き。Pwn2Own winner (Vancouver 2022)。 2016年よりCure53で脆弱性診断。 X: @kinugawamasat
Rolling PWN
INTRODUCTION Modern vehicles are often equipped with a remote keyless entry system. These RKE systems allow unlocking or starting the vehicle remotely. The goal of our research was to evaluate the resistance of a modern-day RKE system. Our research disclosed a Rolling-PWN attack vulnerability affecting all Honda vehicles currently existing on the market (From the Year 2012 up to the Year 2022). Th
はじめに こんにちは。morimolymolyです。 某氏と揉めてさぞ心配&嫌厭なされた方もいらっしゃると思いますので、両者の話し合いも住んだことですし、詳細を伏せてサマリーブログを書こうと思います。 ことの成り行き 某氏が某イベントのアフターパーティにてセクシャリティを弄る行為やセクハラなどを複数人の人間に行いました。 また、そのイベントはCFPで発表者を募っており、私は登壇者として参加していました。 つまり、登壇者の顔すら立てずに(というより登壇内容に触れてくれw)自分のしたいママ、セクハラを続けていたという問題がありました。 そこで「こんな大人がいるのか」と驚き、その場では何も言えませんでしたが、以下の事を考え攻撃することにしました。 *1 「多様性が尊重されて久しい世の中、セクハラやセクシャリティを弄るような行為が“キャラ”として許されるのはどう考えてもおかしい」 「パブリックスペ
Keeping your GitHub Actions and workflows secure Part 1: Preventing pwn requests
Keeping your GitHub Actions and workflows secure Part 1: Preventing pwn requests Jaroslav Lobačevski This post is the first in a series of posts about GitHub Actions security. Part 2, Part 3, Part 4 Secure your workflows with CodeQL: You can enable CodeQL for GitHub Actions to identify and fix the patterns described in this post. In this article, we’ll discuss some common security malpractices for
トレンドマイクロとその子会社VicOneが共催する「Pwn2Own Automotive 2026」が2026年1月21日から23日まで東京で開催され、3日間で76件のゼロデイ脆弱性が発見された。世界16カ国・地域から38チームが参加し、賞金総額は1,047,000米ドル(約1億5700万円、1ドル150円換算)に達した。 コンテストは前年の4カテゴリーから6カテゴリーに拡張され、Tesla車両、Alpitronic製レベル3 EV充電器、車載インフォテインメント(IVI)システム、レベル2 EV充電器、Open Charge Alliance、車載オペレーティングシステムが対象となった。TeslaとAlpitronicがタイトルスポンサーとして参画した。 ドイツから参加した「Fuzzware.io」が28ポイントを獲得し、三代目「Master of Pwn」の称号を獲得した。同チームはE
Firefox、Pwn2Ownで実証された2つのゼロデイ脆弱性に対応 – 10万ドルの報奨金で迅速にパッチをリリース Mozillaは2025年5月17日(米国時間)、同社のWebブラウザ「Firefox」に存在する2つの重大なセキュリティ脆弱性に対処するアップデートをリリースした。これらの脆弱性はいずれも2025年5月中旬にドイツのベルリンで開催されたハッキングコンテスト「Pwn2Own Berlin 2025」でゼロデイ攻撃として実証されたものである。 修正された脆弱性は以下の2つである: CVE-2025-4918(CVE-2025-4920とも表記):Promiseオブジェクトを解決する際の境界外アクセスの脆弱性 CVE-2025-4919(CVE-2025-4921とも表記):線形和を最適化する際の境界外アクセスの脆弱性 これらの脆弱性が悪用されると、攻撃者は境界外の読み取りや書
Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest. →
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Linuxカーネルに「ssh-keysign-pwn」の脆弱性発覚--直近4度目
ほとんどのホンダ車を勝手に解錠&エンジン始動できる脆弱性「Rolling PWN」が発見される
ハッキング大会「Pwn2Own」で「Firefox」がまた陥落……するも、「本丸」は死守!/21時間以内に脆弱性をふさぐ対応の早さも見せつける【やじうまの杜】
ハッキング大会「Pwn2Own」で陥落した「Firefox」、即座にセキュリティ更新を実施/深刻度「Critical」、「Firefox 124.0.1」「Firefox ESR 115.9.1」へのアップデートを
ハッキング大会「Pwn2Own」で「VMware」攻略に用いられた脆弱性、ようやく修正が完了/最大深刻度は「Critical」、対策版への更新を
イベントにおけるCode of Conductの重要性 - GeT_Pwn3d!
Tesla・EV充電器を含む分野で76件の脆弱性、Pwn2Own Automotive 2026
「Microsoft Edge」に致命的なゼロデイ脆弱性 ~Pwn2Ownで発見された欠陥とともに修正/v123.0.2420.65/v122.0.2365.113への更新を
Firefox、Pwn2Ownで実証された2つのゼロデイ脆弱性に対応 – 10万ドルの報奨金で迅速にパッチをリリース
pwn入門 / introduction to pwn
www.chukei-news.co.jp
www.chukei-news.co.jp
www.chukei-news.co.jp
tver.jp
10y.news
serina0.ht.gob.jp