昨日ニンテンドー Wii U 本体の更新 バージョン 5.5.1Jがリリースされました。追記情報として書きましたが、対策されたyellows8氏のブラウザexploitとMathew_Wi氏が持っていたMP4 Exploitは5.5.0までしか使えなくなったためリリースされました。その情報についてお伝えします。
since it was patched yesterday, yellows8 has made available his wii u browserhax ! super stable, works on 5.5.0 https://t.co/LAm8qkcDL5
— smea (@smealum) January 12, 2016
昨日対策されたので、yellows8氏が彼が持っていたWii Uのbrowserhaxを公開しました!5.5.0で動作して非常に安定しています。
GitHubではwiiu_browserhax_frightとして公開されています。plutoo氏が関係していたみたいですね。
wiiu_browserhax_frightはPowerPCのユーザーモードexploitで、Wii Uのインターネットプラウザに含まれる、動画のデコードに使われるlibstagefrightライブラリの脆弱性を利用しています。ブラウザで動作するようになっていますが、HTTPプロトコルでMP4ファイルのリクエストで発動しますので動画プレーヤー向けに作ることも理論的には可能だそうです。ペイロードを読み込むことができます。
このプラウザの脆弱性が5.5.1で対策されてしまいました。
対応しているWii Uのファームウェアは5.4.0と5.5.0です。5.3.2にも脆弱性は存在しますが”payload-heap-addrがオフ”できちんとサポートできていないとのこと。
ただし、今回公開されたものはソースコードで、実際にはブラウザがアクセスするためのexploitコードを含んだサーバーを立てなければならなかったりペイロードを用意しなければならなかったりと、エンドユーザー向けとしてはまだ実用化はされていないと思ってください。
なお、アクセスするURLが長いとネイティブコードの実行に失敗するためアクセスするphpファイル名のURLは短くする必要があります。
もう一つ。Mathew_Wi氏のMP4 Exploitです。5.4.0と5.5.0で有効なexploitです。このexploitも同じく5.5.1で対策されてしまったexploitです。動画のデコードに使われるlibstagefrightライブラリの脆弱性を利用しています。任意のコードの実行ができてしまうという脆弱性を持っていました。
yellows8氏のexploitもMathew_Wi氏のexploitもこのlibstagefrightの脆弱性を利用しています。MP4の動画に関係するところも同じですが、このlibstagefrightの脆弱性はAndroidやFirefoxでも去年その存在が公開されていたもので、そもそも複数の脆弱性があることがわかっていたものです。対策されるべくしてされたと考えたほうが良いでしょう。
これもエンドユーザー向けの状態でリリースはされていません。現時点では開発者向けというところでしょうか。
なお、Hykem氏がリリース予告をしていた5.50ののIOSU exploitについては現時点で情報がありません。
5.50のの…?