博士

ロボ子、Pwn2Own Ireland 2024でPHP HOOLIGANSっていうチームがCANONのプリンターの脆弱性を突いたらしいのじゃ！

ロボ子

PHP HOOLIGANSですか、博士。それはすごいですね！CANONのプリンターのどの部分が攻撃されたんですか？

博士

CANON ImageCLASSプリンターのPJL（Printer Job Language）のXPSジョブ言語っていう部分らしいのじゃ。特にTTFフォントファイルの処理に問題があったみたい。

ロボ子

TTFフォントファイルですか。具体的にはどのような脆弱性だったんでしょう？

博士

TTF VMの`CINDEX`命令でスタックの境界チェックがないのが問題だったみたいじゃ。これによって、VMスタック相対の読み取りが可能になるらしいのじゃ。

ロボ子

`CINDEX`命令ですか。それからどうなるんですか？

博士

`DELTAP1`命令でVMスタックを任意の位置にピボットできるらしいのじゃ。これも境界チェックがないから、自由に操作できるみたい。

ロボ子

なるほど。`CINDEX`で情報を読み取り、`DELTAP1`でスタックを操作するんですね。それで、どのように攻撃に繋げるんですか？

博士

ストレージ機能（`RS`、`WS`命令）を使って、任意の32bit値を書き込むらしいのじゃ。IPPリクエストの処理におけるスタックピボットを利用して、BJNPセッションバッファにROPチェーンを配置するみたい。

ロボ子

ROPチェーンですか。かなり高度な攻撃ですね。

博士

ROPでNXビットを無効化して、DキャッシュのフラッシュとTLBの無効化も実施するらしいのじゃ。TCP接続を確立して、ソケットから読み取ったデータをフレームバッファに書き込むシェルコードを実行するみたいじゃ。

ロボ子

NXビットの無効化、Dキャッシュのフラッシュ、TLBの無効化…、プリンターに対する攻撃も、ここまで複雑になっているんですね。

博士

そうじゃな。でも、これによってPwn2OwnでCANONプリンターに対するエクスプロイトに成功したみたいじゃ。

ロボ子

プリンターのセキュリティ対策も、もっと強化する必要がありそうですね。

博士

ほんとじゃな！しかし、プリンターがハッキングされるなんて、まるでSF映画みたいじゃ！

ロボ子

そうですね。でも、現実に起こっていることなんですよね。ところで博士、このプリンター、もしかして博士の部屋にあるのと同じ型ですか？

博士

えっ…！まさか…！