※上記の広告は60日以上更新のないWIKIに表示されています。更新することで広告が下部へ移動します。

TIFF exploitその後 2009-4-13


前述のMatiaz氏がリリースしたTIFF exploitの件でwololo氏に大量の問い合わせメールが来たのでWebで回答するらしい
意訳してみたが英語疎いんで文法どおりになってるかどうか分からん。
原文: Wagic, Magic the Gathering, and PSP homebrews


1.What!

いったい何の騒ぎだ!

昨日(2009/04/12 JST)、グリップシフトのexploitで知られるMatiaz氏がファームウェアバージョン5.03(たぶん5.05も可)のPSPをexploitして "Hello world" を実行できるファイルをリリースした。これはTIFFファイルなのだが、PSPのフォトフォルダに置いて "h.bin" という名のファイルをメモリスティックのルートに置く。ビューワで表示するとランダムな確率(1/20程度)でHello worldが表示されるというものだ。

すげえぜ!PSP3000でCFWが動くの?

だめ、まだ早すぎる。Hello worldが動くのはPSP1000だけだ

なんだ1000だけかよ、使えねえじゃん

もう一度言うけどそう先を急ぐな。"Hello world"は今のところ1000でしか動いていない。でもまあexploitの穴はどのPSPにもある。SlimとLightではメモリマネージメントが違う。2000と3000で同じことができるのは時間の問題だ(もしかしたら数日?)。

それで、ええっと3000でCFWは動くの?

ごめんまだだ。何度も言われてるけど3000でCFWを動かすのはたぶん不可能だと見込んでる。

やっぱ俺が思ったとおりだめなんじゃね?

いや今回のexploitはまだユーザーモードじゃないんだわ。もしカーネルモードで動かせれば新しいPSPでもHENが動かせるはずだ。
HENは理屈ではhomebrewできるようになってて、ISOSもいけると思う。
HENのいいところはメモリに常駐しててスリープモードにさせても消えてしまわないってことで、exploitを起こせるのがほんとにランダムでも、一旦exploitしてしまえば後はHENはexploitさせなくても動いてくれる。クラッシュしたりハードリブートしない限りは。もしハードリブートした場合はもう一度exploitしなおさないといけないけどな。
だからHENがあれば今回のexpoitの成功率が低くてもそれほど問題じゃない。

でも俺たちはカーネルをexploitする方法をまだ見つけてない。Matiaz氏の言ってる"驚かせるようなこと" ってのはそのことなのかもしれんね。

で、グリップシフトのexploitとどう違うんだ?

ああ、あまり違わないよ。どっちも同じユーザーモードでやってる。違いは次の通り。
  • グリップシフトの場合はゲームそのものを持ってないといけないがTIFFはなにもいらない。
  • グリップシフトのexploitはFW 5.02でしか実行できないけどTIFFは5.05までできる。
  • TIFF exploitは挙動が不安定。グリップシフトは確実に作動する。
聞きたいんだが、グリップシフトを持ってるか?ファームウェアのバージョンは?

ニーソはパッチを当てるだろうかね?

確かにね。次のアップデートが来たらたぶん今回の件は対策されてるだろ。homebrewしたいならアップグレードしないほうがいいかもな。
ほかのexploitの手法も気にしてみてるよ。楽しめるし、どんなネタでも使えるし。みんなが躍起になってクラッシュを探そうとしなかったら、今回みたいなexploitは発見されなかっただろうと信じてる。
俺が前に書いた 脆弱性について ってのは直感みたいなもんだ。頼むからあんまり俺を持ち上げないでくれ、恥ずかしいから。

2.誰がいつやったんだ?

今回の件は99パーセントがMatiaz氏の努力によるものだがそれに協力した人たちの功績も大きい。
数人がこれに関わったはずなのだが、一人だけの功績として挙げられるのはちょっと寂しい気がする。そいつらがMatiaz氏ほどの労力を費やさなかったとしてもだ。
最初のファイルはyoutubeにリンクが貼られ、俺のblogを読んでるmalloxisってやつから知った。俺の見たところじゃ、このファイルは実に運に恵まれていた。
当初、DAXのBBSでちょっとしたネタになっていた。知られてはいなかったがほかでも話題になっていたようだ。
Noob81氏と俺はそのファイルが面白そうだと気がついたので早速いじってみることにした。俺たちのスキルがとても足りないことを幾度となく思い知らされ、誰かの援助が必要になった。
俺たちはFreeplay氏とMatiaz氏、Archaemic氏にコンタクトを取ることになったのだが、彼らはみんなこの脆弱性が使えるかどうかを調べていたようだ。
皆で平行して作業していたのだが、(俺は2000と3000についてMaxMouseDllから個人的にヘルプしてもらっていた)Matiaz氏が最初にゴールを切った。

あまり大声では言えないんだが、俺はなあマジで興奮していたんだよ!
でもハッキングってのは名誉のためにやるもんだと思う。どんな小さな貢献でも協力者は平等だ。誰が完成させたとしても俺たちは最良のものを手に入れるわけで、だがそれがいい。(俺はこれに関わった人たち全員については書いてないけど、それぞれは知っている。)

3.どうやって?

まだすべての詳細は分かってないが、ざっとこんなもんだ:

これって今年の初めごろに言ってたlibtiffの脆弱性なの?

いや、まったく別もんだよ。実は俺がこれを試したときはtiffライブラリの脆弱性は見られなかった。むしろニーソが仕込んだライブラリの機知のバグだった。(もしPS3かiPodでこのバグを試してクラッシュしたら教えてくれ)

PSPLink DIY

おk、ここに件のファイルによるハックの可能性がある、 俺がいじったTIFFファイル がある。
Matiaz氏はこのエラーは使わなかったがほかのやつが効果があることを確かめた。でもこれはまだほんのはじまりにすぎない。


Matiaz氏のリリースと同じようにやれる。最後に、これはバイナリエディタとPSPLinkでやってる。