Xで、TheFloW氏がPS4 13.02とPS5 12.02でPlayStationのexploitが対策されたと公表していました。
RIP, my PlayStation exploit died.https://t.co/gRmjKcqKFJ
Works upto PS4 13.00 and PS5 12.00. Patched on PS4 13.02 and PS5 12.02.
— Andy Nguyen (@theflow0) November 2, 2025
PS5の12.02とPS4の13.02(25.06-12.00.00)は10月1日に同時にリリースされました。
ちょうどその直前にkhoyoko氏がPlayStation部門でカーネルexploit級に当たる1万ドルの報奨金を獲得したことから、PS5の12.02とPS4の13.02(25.06-12.00.00)はkhoyoko氏のカーネルexploit対策であろうと考えていましたが、想定外のTheFloW氏のカーネルexploitもあったようです。Hackeroneで内容が公開されているなかにそれらしいのは見当たらないので詳細の特定ができていません。Hackeroneに報告したからこそ対策された可能性の方が高いですし、Hackeroneに報告せずシーンメンバーだけで共有していたことも考えにくいです。突然の公開はタイミング的に裏をかかれました。
今回のTheFloW氏の脆弱性が存在するのはPS4 システムソフトウェア バージョン 13.00とPS5システムソフトウェア バージョン 25.06-12.00.00となります。
TheFloW氏が公開したコードはExploitNetControlImpl.javaで、bd-jbのAPIをインポートしているのでbd-jb前提で、ExploitNetControlImplとなっているのでネットワーク通信の制御に関わる部分にexploitを実装しているようです。
Y2JBを開発したGezine氏によると、やはりTheFloW氏のカーネルexploitはBD-Jの特権が必要なため、トリガーにY2JBやLuaは使えずbd-jbと組み合わせが必須だとしています。
Guess theflow’s new kexploit does not work at Y2JB and lua.
Need privileged app like BD-J
— Gezine (@gezine_dev) November 2, 2025
最近明らかになったHackerone報奨金5,000ドルのTheFloW氏の脆弱性が有効なファームウェアはPS4が12.50まで、PS5が25.04-11.40.00までですのでPS4の13.00やPS5の12.00.00では利用できません。今後の進展次第で実用化となりそうです。