パスワードを忘れた? アカウント作成
Close
14383 story

Vista と IE7 の賞金付きバグ探しコンテスト開始される 38

ストーリー by yoosee
賞金首 部門より

jerry 曰く、

japan.internet.com によれば、VeriSign の子会社 iDefense Labs が実施している未知の脆弱性を探し出す賞金プログラム「Vulnerability Contributor Program (VCP)」において、Windows Vista と Internet Explorer 7 を対象にしたコンテストを開始したそうだ。 (予算の都合上)最初に確認された 6つの脆弱性に対して8000ドルの賞金が支払われ、実証コードがある場合にはさらに 2000~4000ドルが支払われる。

なお、Microsoftとの関連性は

このコンテストは、Microsoft が公認しているわけではない。また、Greenwood 氏によれば、iDefense Labs はこのコンテストに関して VeriSign には連絡していないという。
と述べられているが、発見された脆弱性は iDefense Labs から Microsoft にきちんと連絡されるとの事。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Vista と IE7 の賞金付きバグ探しコンテスト開始される More

  • バグを探せと、いわれても… (スコア:5, おもしろおかしい)

    by geregere (24377) on 2007年01月14日 17時59分 (#1091503)
    バグと思しき物を発見しても、「仕様です」と主張されたらたまらないわけで…
    # 「このGUIはなんとなく嫌い」をバグとして挙げてくる客がいるけどID
    --
    --- 駆り立てるのは納期と仕様変更。横たわるのはPGとSE。

    • バグではなく、脆弱性 (スコア:1, 参考になる)

      by Anonymous Coward on 2007年01月14日 19時36分 (#1091519)
      トピックタイトルもそうなんですが、全てのバグが脆弱性というわけではありません。
      主旨は、脆弱性を探すコンテストだと思いますが。
      脆弱性を仕様ですというとしたら、企業として姿勢を疑いますが、
      不自然な振る舞いを、それを自然と思われる動作に変更することによって、
      影響を受ける範囲を考慮すると、バグではなく仕様です、
      というのは別におかしいとは思いません。
      creatとかCloneableとか、よくある話です。
      シェア
      親コメント
    • 仕様が公開されていてその仕様に準拠していると謳っている点で仕様が満たせていない部分を見つければ
      明確にバグと言えるのではないでしょうか。

      #RFCやら

      シェア
      親コメント

    • Re:バグを探せと、いわれても… (スコア:1, 参考になる)

      by Anonymous Coward on 2007年01月14日 21時02分 (#1091534)

      最近のユーザーは無能な編集のつけたタイトルを眺めるのみで、リンク先どころかタレコミの本文すら見ないんでしょうか。

      未知の脆弱性を探し出す賞金プログラム「Vulnerability Contributor Program (VCP)」

      シェア
      親コメント

  • ヒント (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2007年01月14日 16時51分 (#1091487)
    普通に使ってれば発見できます。

  • どうせ頼むなら (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2007年01月14日 20時06分 (#1091523)
    Mozilla Corporationか、Operaか、Appleに頼むといいよ。彼らは、ウェブブラウザに付いては、良く知っているからね。

  • 最速が可能なのは (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2007年01月14日 17時57分 (#1091502)
    今一番有利なのはコードとバグDBを閲覧できるMSの社員だ。

    オレが投稿者になるから誰か賞金を折半しないか?

  • 賞金 (スコア:1)

    by tondeke (29053) on 2007年01月14日 17時46分 (#1091498) ホームページ 日記
    マイクロソフトとの連携なしにマイクロソフト製品のいわば欠陥の情報を、事実上この会社が買い取るというのはどういうメリットがあるのでしょうか?
    (最終的にマイクロソフトにフィードバックされるとはいえ)

    賞金というのは、皮肉込みのお遊びみたいなものなんでしょうか。

    • Re:賞金 (スコア:2, 参考になる)

      by Anonymous Coward on 2007年01月14日 21時23分 (#1091540)
      ではなくて、自社の宣伝広報でしょう。

      タレコミにもあるように、iDefense Labsはセキリュティ関係ならなんでもやってるベリサインの子会社で、
      企業相手にその会社の脆弱性やらを探したりする企業の番犬みたいな仕事をやってます。

      アンチマイクロソフトってわけでも、皮肉が含まれてるわけでもなく、iDefense Labsの業務そんまんまです。
      シェア
      親コメント

    • Re:賞金 (スコア:0)

      by Anonymous Coward
      まあ、人間に渡りをつけるのが目的、でしょうね。MS以外のセキュリティホールは商売にしにくいってのもあると思いますよ。
  • またですか。

    去年のストーリー:MS製品のバグ発見者に1万ドルの賞金 [srad.jp]

    今のところ Vista にリモートで攻撃可能なセキュリティホールが公に見つかっていませんから、8000ドルという金額は妥当なのかもしれませんが、一度賞金を受け取ったりしたら、アングラでは商売できなくなると思いますから、この金額で釣れるのかどうかは疑問ですね。WMF Exploit [srad.jp]の場合、一件4000ドルでいくつかのクラックグループが販売していたといいますから、買い手さえいれば賞金相当のドルを稼ぐのは楽でしょう。

    でも未知のコードの売れ筋は、VISTA よりも XP や 2K だと思う。ブラウザも IE7 よりは IE6 でしょう。
    • >買い手さえいれば

      これが一番重要なんじゃないの?
      本当に、MS以外に買うところがあるの?
      買うとしたら、出した金以上の収入をそこから得るつもりなんでしょ。
      そう簡単にはいかないと思うけどな。
      • 踏んだPCをゾンビに仕立ててSPAM送信の手先にするとか、需要はあると思いますが
        シェア
        親コメント
        • 今のマルウェアに、従来の脅威レベルはあてにならない?−Symantec [impress.co.jp]

           例えばボットの1つに、Windowsサーバーサービスのリモートバッファオーバーフローの脆弱性(MS06-040)を悪用して感染するWargbotというものがある。このボットは最終的に別のマルウェアをダウンロードすることで、感染PCをスパムプロキシに変えてしまい、攻撃者の指示によってスパム(迷惑メール)をばらまくものだ。

           このボットによってまかれた迷惑メールには数多くの種類があるところを見ると、「迷惑メールを送る能力を人に売っているのは確実。顧客はたくさんいるようだ」(チン氏)という。

          この記事にあるように迷惑メールの数だけ顧客はいるみたいなので、マルウェア作者にとっては未知の脆弱性が利用できて手堅く商売ができるなら4000ドルも安い買い物かもしれませんね。

          【レポート】マルウェアはプロの金儲けの手段に - McAfee Avert Labs (1) [mycom.co.jp]によると、

          最近流行しているマルウェアであるボットは、毎日20~50種類の新しいものが登場しているそうで、「金が儲けられるからたくさん作られる」という状況。ボットを作るのは非常に簡単なうえ、DoS攻撃や個人情報の窃取など、効果も大きい。Shadowcrewと呼ばれる、数百万ドルを稼ぐ犯罪集団も登場しているそうで、「プロに徹した犯罪組織」がボットの効果に着目、今後もこの傾向は変わらない模様だ。

          いやー数百万ドルが稼げるビジネスになっているみたいですね。shadowcrewについてはオンライン詐欺師のポータルサイト、Shadowcrew.com [cnet.com]という記事にNewYork Timesによるインタビューへのリンクがあるようです(興味ないので見てませんが)
          --
          モデレータは基本役立たずなの気にしてないよ
          シェア
          親コメント

  • 賞金首部門 (スコア:0)

    by Anonymous Coward on 2007年01月14日 20時12分 (#1091525)
    バグが多いのがネックになって6人分しか賞金が出ません

  • バグといえばバグのはず (スコア:0)

    by Anonymous Coward on 2007年01月14日 20時14分 (#1091526)
    こういうCSS絡みのバグ [mycom.co.jp]もバグの内に含めるのかなぁ?

  • とりあえず、知っているVistaのバグを1つ (スコア:0)

    by Anonymous Coward on 2007年01月15日 1時10分 (#1091646)
    1.MS-IMEの設定を開く
    2.キー設定を適当にカスタマイズする(ATOK風などのテンプレート以外)
    3.保存して設定を終了

    以上で、[半/全]キーでのIME ON/OFFが出来なくなる([Alt]+[半/全]は可能)
    RTM版をインストール後、5分で見つけたwwww
    • Microsoft Vista (NtRaiseHardError) Privilege Escalation Exploit [milw0rm.org]

      //26-12-2006 ]erasmus[/ORC
      //exploit NtRaiseHardError privesc and load dll into csrss
      //this version only is vista, other version can be worked
      //with proper offsets, i will complete them soon
      //imperfect but sometime work, ok for proto type;)
      //dll limit to 8 chars but maybe can work around by
      //\xxx\..\dll type trick and use LoadLibraryW, now is
      //C:\TEST but another drive maybe work

      これはmilw0rm.orgに掲載されている既知のVistaのローカルの脆弱性の実証コードです。もとは Windows XP/2K向けの実証コードだったのを、Vista向けに手直ししたもの。ですから Windows xp sp2向けのセキュリティホールと似たようなところ突けば、Vista でもいけるような気がしますね。あとは大昔に塞いだはずのセキュリティホールがぽっかり開いているという事例もありましたし。
      シェア
      親コメント
    • wwwww
      よくある事ですが英語のシステムにパッチしてるので
      英語で一般的な仕様方法やらショートカットと
      日本語システムでのショートカットで当ってる
      場所を探せば更に出てくるとかと思います。

      WindowsはどういうわけかMS-IMEで
      英語モードのキー設定と
      JISモードのキー設定では
      かなり違う。
      capsでトグルきりかえでないとか
      日本語キーボードであたり前の機能が違うw

      #今回はタクスバーを縦とか横とかいじってるとハマりそうw
    • タスクバーを上に持って行くとサイドバーが前面になる
      かといってタスクバーを上の位置で最前面にするとウインドウ上部にかぶって困る
typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike