ティーンのハッカーがChromeのバグを見つけて賞金6万ドルを獲得(しかも二度目!)

次の記事

Kickstarter、海を越える。英国拠点プロジェクトが可能に、海外配送も便利に

Google-chrome-logo

“Pinkie Pie”と名乗る10代のハッカーが6万ドルの賞金をGoogleからもらう。彼(彼女?)は水曜日に行われたHack in the Boxカンファレンスで、Chromeブラウザに今ある脆弱性を悪用するハックを作りだすことに、成功したのだ。その欠陥を見つけたのは、締め切りの直前だった、と今朝の記事(米国時間10/11)は報じている。Googleはもちろん、その脆弱性を検証し確認してから入賞を決定した、と本誌あてのメールで言っている。詳細はChromeのブログに載っている。

そのブログ記事によると、Pinkie Pieが見つけたバグは:

  • [$60,000][154983][154987] Critical CVE-2011-2358: SVG use-after-free and IPC arbitrary file write. Credit to Pinkie Pie.

[SVG(スケーラブルベクタグラフィクス)のuse-after-free((ポインタの)解放後使用==無効なポインタ参照)と、IPC(プロセス間通信)による勝手なファイル書き込み]

Googleは賞金として200万ドルを用意していた。“完全な欠陥”を見つけた者には6万ドル、“部分的な欠陥”には5万ドル、“Chromeとは無関係な欠陥”(Windows, Flash, ドライバなど)は4万ドルとされていた。Googleは2月に行った発表で、Webそのものをより安全にすることはGoogleの全社的使命であるので、他社製品のバグの発見も賞の対象にする、と言っている(賞金の額はその後変わった: 2万→4万)。また、審査員の判断により、‘不完全な欠陥’の発見も賞の対象になる。

“Pinkie Pie”は3月にも6万ドルを稼いでいる。そのときは第一回の“Pwniumコンペ”と名付けられたイベントで、6つの脆弱性をつなぎ合わせてChromeのサンドボックスに穴を開けた。Infoworldの記事によると、今週のHack in the Boxイベントには本人が出席せず、同僚がその‘作品’を持参し提出した。

“Pinkie Pie”は、会社が許可していないことをやっているので、会社にばれるとヤバイと言い、本名を明かさない。3月にWired誌の記事でそう述べている。”Pinkie Pie”は、そう、あの人気テレビ番組My Little Pony TVのキャラクターで、Redditでもよく話題になっている。

Googleはここ数年、バグを発見した外部者に賞金を提供している。たとえば2010年の3月には、Chromeブラウザのオープンソース版Chromium(Chromeのコードベースでもある)のバグ発見に500ドルから最高1337ドルまでの賞金を設けた。ちなみに1337は、Leet語でまさに’leet’だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))