Lors de la dernière édition du concours de hacking Pwn2Own de TippingPoint, Charlie Miller a encore frappé. Habitué de ce concours ( trois fois vainqueur ), l'analyste américain en sécurité chez Independent Security Evaluators a mis à mal Mac OS X 10.6 ( via Safari ) en exploitant une vulnérabilité pour prendre le contrôle à distance d'un ordinateur Mac.

Pour la mise à jour de Mac OS X datant de la fin du mois de mars, Charlie Miller avait constaté que sa faille n'avait pas été comblée. C'est aujourd'hui le cas avec la publication par Apple de la mise à jour 2010-003 qui s'adresse à Mac OS X 10.5 et 10.6. Le chercheur va jusqu'à remercier Apple pour cette délicate attention.

Mais l'homme n'a pas toujours été aussi tendre avec Apple et autres. Au cours de la conférence CanSecWest ( dans le cadre de laquelle a eu lieu Pwn2Own ), il a refusé d'en dire plus sur la découverte de plus de 20 vulnérabilités affectant des produits logiciels d'Apple, Microsoft et Adobe.

Le chercheur a débusqué ces failles via des techniques de dumb fuzzing. Le fuzzing consiste à tester un logiciel en injectant des données aléatoires dans les entrées et voir comment il se comporte. Le cas échéant, cela est révélateur d'un bug à corriger. A contrario du smart fuzzing, le dumb fuzzing ne tient compte d'aucune prérogative ( ou ligne directrice ) pour les entrées injectées.

Charlie Miller a jugé qu'il serait plus profitable de montrer comment il a procédé pour découvrir ces vulnérabilités, refusant donc de les détailler aux éditeurs pour ne pas leur mâcher le travail. Une forme de plaidoyer en faveur de la pratique du fuzzing afin que les éditeurs améliorent seuls la sécurité de leurs logiciels.

Selon Apple, la vulnérabilité ( celle-ci dévoilée à l'éditeur mais pas rendue publique ) que Charlie Miller a exploité lors du Pwn2Own est liée à ATS ( Apple Type Services ) : " consulter ou télécharger un document contenant une police malveillante intégrée peut conduire à l'exécution de code arbitraire ". Charlie Millier a exploité le bug d'ATS via Safari.

Computerworld note que pour le coup, la correction par Apple de cette faille liée au concours Pwn2Own a pris moins de temps que l'année dernière, soit 21 jours contre 55 jours. On rappellera par ailleurs que le plus prompt à réagir ( pour une autre faille exploitée lors du Pwn2Own ) a été Mozilla avec la publication de Firefox 3.6.3 le 1er avril, soit 8 jours après la fin du concours. Microsoft n'a pour sa part pas encore proposé la mise à jour de sécurité dédiée pour IE8.