HackerOneで、PlayStation NowのPCアプリケーションにウェブサイトが任意のコードを実行できてしまう激甚災害級の脆弱性情報を開示していました。
PlayStation NowはPlayStation 4やPlayStation 3用ゲームソフトをストリーミングでプレイできる月額制定額サービスで、PlayStation 5 / PlayStation 4やWindows PCで利用できます。
今回開示されたこの脆弱性のステータスは”Resolved (Closed)”、つまり「解決済み」ですが、severity(重症度)はCritical (9.6)となっていて、PlayStation関連最高クラスの報償額となる15,000ドル(およそ156万円)です。
脆弱性の評価はNone/ Low/ Medium/ High/ Criticalの5段階(最大値10)ですので、Critical (9.6)は激甚災害級扱いです。TheFloW氏のPS4 7.02のカーネルexploitがHigh (7 – 8.9)ですのでCritical (9.6)がいかにやばいモノなのかがよく分かります。
脆弱性のあるPlayStation Nowアプリケーションのバージョンは11.0.2です。PlayStation NowのPCアプリはhttps://www.playstation.com/ja-jp/ps-now/ps-now-on-pc/からダウンロードできます。現時点での最新版はPlayStationNow 11.2.3ですので今入手できるものは激甚災害級の脆弱性が対処されたものになります。
脆弱性の内容はリモートでコードが実行できる、つまり遠隔で任意のコードが実行できてしまうというもので、リモートでコードが実行できてしまうということはセキュリティホールを仕掛けることも可能、極論すると、この脆弱性を悪用すれば「なんでもやりたい放題」になります。
脆弱性の内容はかなりヤバいものですが、「なんでもやりたい放題」になるのはPS5やPS4ではなくユーザーレベルではユーザーがやろうと思えば何でもできるWindows PCです。自分以外の第三者の赤の他人までもが何でもできるようになるので、どちらかというとセキュリティ的観点から早く対策版にアップデートしましょう、と言っておきます。
PlayStation関連過去最高報償額はoct0xor氏の40,000ドルでは?
公開される事はまずないと思いますが40,000ってどれだけヤバかったのだろうか
最近はhackeroneでも動きがあったりして面白いですね