Hackeroneで、slidybat氏が報奨金10000ドルを獲得した脆弱性の詳細が公開されました。
これは1月末にHackeroneに掲載されたslidybat氏が1万ドルの報奨金獲得のカーネルexploitと思われる脆弱性です。
slidybat氏の脆弱性は「use-after-freeを引き起こす可能性がある」というもので、メモリの破損を引き起こしてカーネルコードの実行に繋がる恐れがあるとされています。
slidybat氏はこの脆弱性2025年8月30日にエントリーしたものの、ソニーから追加情報を求められ、その後も結構長期間審査をしていました。10月17日に優先度判定が行われることが決定されましたが、数ヶ月後の2026年1月末27日になってようやく深刻度が高いと判定され、報奨金1万ドルと決定され、当時に解決済みステータスとなりました。
1月28日にslidybat氏がバグリポートの公開を要求し、ここでようやくslidybat氏がカーネルexploit級となる1万ドルの報奨金獲得が公表されました。
sys_netcontrolのUse-after-freeはPoopsploitと呼ばれるカーネルexploitと同じです。
GameGaz Daily 2026.4.15でお伝えしたNetPoops-PS5がそれに当たります。専門家ではないので同じ脆弱性なのか分かりませんが、NetPoops-PS5はTheFloW氏が公開したExploitNetControlImpl.javaをベースにBD-Jに実装しています。
slidybat氏の脆弱性はPS5の12.00まで有効のようです。
Hackerone +PS5+
-Error reportado por slidybat fue revelado
-Double fdrop on a socket through sys_netcontrol
-Firmware máximo soportado: 12.00Hackerone.:https://t.co/C4vjatsMVb
DEV.:
Slidybat pic.twitter.com/VgCBxqfrxL— TeRex777 (@TeRex777_) May 1, 2026
「報奨金10000万ドルと決定され」
10000万ドルのkexploitですか…
夢がありますね…