Safari ressort vierge du Pwn2Own mais pas pour Secunia

Le par  |  5 commentaire(s)
Apple Safari logo

Secunia divulgue des détails sur deux vulnérabilités affectant le navigateur Safari. Pour la société de sécurité, Apple a failli dans son dialogue avec les chercheurs.

Lors du concours de hacking Pwn2Own, les navigateurs Google Chrome, Internet Explorer et Firefox sont tombés. Safari est par contre ressorti indemne de cette compétition ( faute de tentatives d'attaques pour une faille 0-day ), même si Secunia lui assène un tacle.

La société de sécurité danoise a en effet publié des informations au sujet de deux failles affectant le navigateur. Une est partiellement corrigée tandis que l'autre ne l'est pas du tout. Cette dernière est présente dans le traitement des plugins. Elle permet un accès système à distance pour un attaquant et a été confirmée dans la version 5.1.2 de Safari pour Windows via les plugins Flash Player et RealPlayer.

Cette publication sanctionne le mutisme d'Apple qui a été prévenu de la faille non comblée il y a six mois. Secunia pointe ainsi du doigt la firme à la pomme, soulignant que des éditeurs comme Microsoft, Adobe, Symantec, Novell et IBM sont plus enclins au dialogue avec les découvreurs de failles.

Apple Safari logo" Naturellement, les dates de correction peuvent être sujettes à modification et la plupart des chercheurs semblent prêts à repousser une date de divulgation si nécessaire afin que l'éditeur puisse publier un correctif en bonne et due forme ", déclare Secunia.

Mais d'ajouter : " Cependant, après que l'éditeur ait eu l'opportunité d'analyser et débuter la correction d'une vulnérabilité, les chercheurs méritent de savoir quand un correctif doit être prévu ".

La décision de Secunia pourrait relancer le débat toujours houleux sur la divulgation dite responsable de vulnérabilités. Maintenant que des détails sont connus, les utilisateurs sont plus exposés à une exploitation par des attaquants.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #922561
C'est étonnant, VUPEN (le gagnant) avait pourtant annoncé sur son twitter avoir mis au point un exploit pour Safari Mac OS dans un tweet du 8 mars :

"We have written exploit for Mac OS X Safari x64 (CVE-2011-0115) in less than 1 hour! 10 pts won! #pwn2own"



Le #922781
+1 avec KerTiaM, Safari est bien évidemment tombé pendant le Pwn2Own... TOUS les navigateurs sont tombés. Vérifiez vos sources GNT, vous êtes dans l'erreur.
Le #922801
@TGN, l'organisateur du concours confirme bien que Safari n'a pas été pris pour cible. Aucun exploit n'a été tenté contre le navigateur : http://twitter.com/#!/Pwn2Own_Contest/status/178584113090011136
Le #922961
Jérôme G. tu as vrai et TGN aussi.

Safari est tombé ( donc vrai TGN) mais pas le concours exigeait un 0-day pour tomber donc pas de chute dans les regles de CSW (vrai Jerôme).

Mais Safari sorti vierge = AHAHAHAHAHAAAAHAHAHAHAHAHAHAHAHAAAAAHHHH !!!
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]