Chrome et Firefox : tombés au Pwn2Own, ils rehaussent déjà leur sécurité

Le par  |  1 commentaire(s)
donnees-binaires

Cela n'a pas traîné. Après avoir été compromis lors du concours Pwn2Own, Google Chrome et Firefox ont été mis à jour dans la foulée. Une réactivité impressionnante.

Lors de la première journée du concours de hacking Pwn2Own, IE10 sur Windows 8, Google Chrome et Firefox sur Windows 7 ont subi la loi de chercheurs en sécurité informatique qui sont parvenus à exploiter des failles 0-day ( autrement dit sans correctif ) pour aboutir à la compromission de la machine hôte.

Java 7 n'a également pas résisté et au deuxième jour de la compétition ce sont les plugins Flash Player et Adobe Reader XI ( plugins pour IE9 sur Windows 7 ) qui ont failli. Pour Adobe Reader, l'attaque victorieuse a été réalisée par un certain George Hotz alias GeoHot, connu pour avoir été le premier à déverrouiller l'iPhone d'Apple et hacker de la console de jeu PlayStation 3.

Pwn2Own-pwned
Dans le cadre du Pwn2Own, la société Vupen a notamment été récompensée à hauteur de 250 000 dollars pour l'ensemble de ses exploits victorieux ( voir ci-dessous pour les sommes en jeu ). En tout, plus d'un demi-million de dollars de prix et récompenses ont été distribués pour l'édition 2013.

Pwn2Own-prix
Pour ce concours où les vulnérabilités et techniques employées sont rapportés aux éditeurs concernés, Google et Mozilla ont été particulièrement véloces. Google Chrome et Firefox bénéficient en effet d'ores et déjà d'une mise à jour de sécurité.

Chrome-nouveau-logoPour Google Chrome 25, elle vient corriger une vulnérabilité découverte par les chercheurs de MWR Labs. À noter toutefois que Google n'attribue pas un niveau de dangerosité critique mais haut et fait référence à une vulnérabilité de type confusion d'objets dans WebKit. Les chercheurs de MWR Labs expliquent avoir démontré un évitement complet de la protection sandbox dans Google Chrome associé à une vulnérabilité dans le noyau Windows.

Firefox_Nouveau_LogoFirefox passe en version 19.0.2 afin de combler une faille mise à jour par Vupen et liée à un problème de réutilisation d'une partie de la mémoire ( use-after-free ) avec l'éditeur HTML. La faille est marquée critique.

À voir si les autres éditeurs affectés feront également preuve d'une aussi belle réactivité.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1886342
:face palm: ... on passe par tous ces états ... c'était difficile d'en choisir un ...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]