CanSecWest : les navigateurs vont avoir chaud sous Windows 7

Le par  |  1 commentaire(s)
Hacker

La conférence mondiale sur la sécurité informatique CanSecWest sera comme chaque année le théâtre d'un concours de hacking au cours duquel les navigateurs Web IE8, Firefox, Safari et Opera devront subir des attaques sur une machine équipée Windows 7.

HackerDu 16 au 20 mars 2009 va se tenir à Vancouver au Canada, la conférence mondiale sur la sécurité informatique, CanSecWest. Un peu en marge de cette manifestation, va se dérouler une nouvelle fois un concours de hacking sous l'égide de la société TippingPoint, filiale de 3Com.

L'année dernière, ce concours baptisé Pwn2Own avait vu passer sur le gril trois systèmes d'exploitation : Windows Vista Ultimate SP1, Mac OS X 10.5.2 Leopard et Ubuntu 7.10, tous trois équipant une machine spécifique dont un MacBook Air pour l'OS d'Apple. Après assouplissement des règles du concours, c'est d'ailleurs cette dernière qui avait fini par rendre les armes en premier.

En seulement deux minutes, Charlie Miller avait réussi à prendre son contrôle en exploitant un bug dans Safari (présent par défaut), empochant au passage la somme rondelette de 10 000 dollars ainsi que le MacBook Air. L'ordinateur sous Windows Vista avait suivi après installation autorisée de logiciels tiers et la présence d'une faille dans Flash Player. Une petite polémique était toutefois née face au manque d'envie des participants aux concours d'éprouver la distribution Linux.


Les navigateurs sur la sellette Windows 7
Cette année, le concours Pwn2Own sera consacré aux navigateurs Web et en l'occurrence Internet Explorer 8, Firefox, Safari et Opera. Les modalités du concours ne sont pas encore connues (comme toutes les versions des fureteurs d'ailleurs), mais il est probable qu'il s'agira d'exploiter une vulnérabilité 0-day afin de prendre le contrôle total d'une machine. Le champ d'expérimentation est justement connu : un notebook Sony VAIO P fonctionnant sous Windows 7. On sent déjà poindre une nouvelle polémique avec du côté de Microsoft, tant un navigateur qu'un OS qui ne sont pas disponibles dans leur version finale.

Une petite originalité cette année sera aussi qu'il n'y aura en réalité pas un mais deux concours, puisque des systèmes d'exploitation dans le domaine du mobile devront également subir des attaques : Android, iPhone, Symbian, Windows Mobile, RIM.

A l'issue du concours, les vulnérabilités 0-day découvertes et exploitées ne sont pas lâchées dans la nature et sont portées en toute discrétion à la connaissance des éditeurs concernés.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #417021
Je donne pas cher de la peau des navigateurs sur mobile. Un rien les fait planter et ces cas cachent peut-être un buffer-overflow exploitable.

Ce qui joue pour eux c'est la difficulté d'avoir un rapport de crash comme sur un navigateur d'ordinateur (mode debug, strace, Olly, gdb, ... ) mais ça n'empêche pas les hackers motivés comme ceux qui ont exploité la faille tiff dans le Safari iPhone pour le jailbreaker ( http://www.tuaw.com/2007/10/29/confirmed-jailbreak-appsnapp-fixes-tiff-exploit-hole-in-iphone/ ).


Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]