Vista と IE7 の賞金付きバグ探しコンテスト開始される 38
ストーリー by yoosee
賞金首 部門より
賞金首 部門より
jerry 曰く、
japan.internet.com によれば、VeriSign の子会社 iDefense Labs が実施している未知の脆弱性を探し出す賞金プログラム「Vulnerability Contributor Program (VCP)」において、Windows Vista と Internet Explorer 7 を対象にしたコンテストを開始したそうだ。 (予算の都合上)最初に確認された 6つの脆弱性に対して8000ドルの賞金が支払われ、実証コードがある場合にはさらに 2000~4000ドルが支払われる。
なお、Microsoftとの関連性はと述べられているが、発見された脆弱性は iDefense Labs から Microsoft にきちんと連絡されるとの事。このコンテストは、Microsoft が公認しているわけではない。また、Greenwood 氏によれば、iDefense Labs はこのコンテストに関して VeriSign には連絡していないという。
バグを探せと、いわれても… (スコア:5, おもしろおかしい)
# 「このGUIはなんとなく嫌い」をバグとして挙げてくる客がいるけどID
--- 駆り立てるのは納期と仕様変更。横たわるのはPGとSE。
バグではなく、脆弱性 (スコア:1, 参考になる)
主旨は、脆弱性を探すコンテストだと思いますが。
脆弱性を仕様ですというとしたら、企業として姿勢を疑いますが、
不自然な振る舞いを、それを自然と思われる動作に変更することによって、
影響を受ける範囲を考慮すると、バグではなく仕様です、
というのは別におかしいとは思いません。
creatとかCloneableとか、よくある話です。
Re:バグを探せと、いわれても… (スコア:1)
明確にバグと言えるのではないでしょうか。
#RFCやら
Re:バグを探せと、いわれても… (スコア:1, 参考になる)
最近のユーザーは無能な編集のつけたタイトルを眺めるのみで、リンク先どころかタレコミの本文すら見ないんでしょうか。
Re:漢字くらい読めますよ (スコア:0)
「カモし」は?「ばーちゃる」は?「こんぴゅーた」は?
#中途半端
ヒント (スコア:3, おもしろおかしい)
未知の脆弱性 (スコア:0)
Re:未知の脆弱性 (スコア:0)
どうせ頼むなら (スコア:3, すばらしい洞察)
最速が可能なのは (スコア:2, おもしろおかしい)
オレが投稿者になるから誰か賞金を折半しないか?
賞金 (スコア:1)
(最終的にマイクロソフトにフィードバックされるとはいえ)
賞金というのは、皮肉込みのお遊びみたいなものなんでしょうか。
Re:賞金 (スコア:2, 参考になる)
タレコミにもあるように、iDefense Labsはセキリュティ関係ならなんでもやってるベリサインの子会社で、
企業相手にその会社の脆弱性やらを探したりする企業の番犬みたいな仕事をやってます。
アンチマイクロソフトってわけでも、皮肉が含まれてるわけでもなく、iDefense Labsの業務そんまんまです。
Re:賞金 (スコア:1)
Re:賞金 (スコア:0)
冬はMSのバグ探しの季節 (スコア:1)
去年のストーリー:MS製品のバグ発見者に1万ドルの賞金 [srad.jp]
今のところ Vista にリモートで攻撃可能なセキュリティホールが公に見つかっていませんから、8000ドルという金額は妥当なのかもしれませんが、一度賞金を受け取ったりしたら、アングラでは商売できなくなると思いますから、この金額で釣れるのかどうかは疑問ですね。WMF Exploit [srad.jp]の場合、一件4000ドルでいくつかのクラックグループが販売していたといいますから、買い手さえいれば賞金相当のドルを稼ぐのは楽でしょう。
でも未知のコードの売れ筋は、VISTA よりも XP や 2K だと思う。ブラウザも IE7 よりは IE6 でしょう。
Re:冬はMSのバグ探しの季節 (スコア:0)
これが一番重要なんじゃないの?
本当に、MS以外に買うところがあるの?
買うとしたら、出した金以上の収入をそこから得るつもりなんでしょ。
そう簡単にはいかないと思うけどな。
Re:冬はMSのバグ探しの季節 (スコア:1)
マルウェアビジネスは数百万ドル稼げるようですよ (スコア:1)
この記事にあるように迷惑メールの数だけ顧客はいるみたいなので、マルウェア作者にとっては未知の脆弱性が利用できて手堅く商売ができるなら4000ドルも安い買い物かもしれませんね。
【レポート】マルウェアはプロの金儲けの手段に - McAfee Avert Labs (1) [mycom.co.jp]によると、
いやー数百万ドルが稼げるビジネスになっているみたいですね。shadowcrewについてはオンライン詐欺師のポータルサイト、Shadowcrew.com [cnet.com]という記事にNewYork Timesによるインタビューへのリンクがあるようです(興味ないので見てませんが)
モデレータは基本役立たずなの気にしてないよ
賞金首部門 (スコア:0)
バグといえばバグのはず (スコア:0)
Re:バグといえばバグのはず (スコア:1)
<link href="vbscript.css" type="text/css">
これでVBScriptを実行出来るのは脆弱性かもしれない。
*IE6の話ですが
Re:バグといえばバグのはず (スコア:0)
Re:バグといえばバグのはず (スコア:0)
とマジレス
Re:バグといえばバグのはず (スコア:0)
とりあえず、知っているVistaのバグを1つ (スコア:0)
2.キー設定を適当にカスタマイズする(ATOK風などのテンプレート以外)
3.保存して設定を終了
以上で、[半/全]キーでのIME ON/OFFが出来なくなる([Alt]+[半/全]は可能)
RTM版をインストール後、5分で見つけたwwww
Re:とりあえず、知っているVistaのExploitを1つ (スコア:2, 参考になる)
これはmilw0rm.orgに掲載されている既知のVistaのローカルの脆弱性の実証コードです。もとは Windows XP/2K向けの実証コードだったのを、Vista向けに手直ししたもの。ですから Windows xp sp2向けのセキュリティホールと似たようなところ突けば、Vista でもいけるような気がしますね。あとは大昔に塞いだはずのセキュリティホールがぽっかり開いているという事例もありましたし。
Re:とりあえず、知っているVistaのバグを1つ (スコア:0)
よくある事ですが英語のシステムにパッチしてるので
英語で一般的な仕様方法やらショートカットと
日本語システムでのショートカットで当ってる
場所を探せば更に出てくるとかと思います。
WindowsはどういうわけかMS-IMEで
英語モードのキー設定と
JISモードのキー設定では
かなり違う。
capsでトグルきりかえでないとか
日本語キーボードであたり前の機能が違うw
#今回はタクスバーを縦とか横とかいじってるとハマりそうw
Re:とりあえず、知っているVistaのバグを1つ (スコア:0)
かといってタスクバーを上の位置で最前面にするとウインドウ上部にかぶって困る
Re:やめとこ (スコア:0)
Re:やめとこ (スコア:0)
呼んだ? (スコア:1)
Xbox とか Zune みたいなものを余り高く評価していないので。
Re:やめとこ (スコア:0)