Hacking : les premières victimes du Pwn2Own et Pwnium (Fx, IE11, Flash, Reader, Chrome OS)

Le par  |  6 commentaire(s)
opendata

Au premier jour du concours de hacking Pwn2Own, Internet Explorer, Firefox, Flash Player et Adobe Reader sont tombés. Google s'est amusé à malmener Safari sur OS X 10.9. Pour le concours Pwnium, un exploit a été validé pour Chrome OS.

En marge de la conférence de sécurité CanSecWest au Canada, le concours de hacking Pwn2Own se déroulant sur deux jours à verser ses premières récompenses. Un total de 400 000 $ ce qui constitue un record pour un premier jour de compétition. Il faut aussi dire que les règles ont été modifiées par rapport aux années précédentes où seul le premier hacker à compromettre une cible était récompensé.

bug_postRappelons que ce concours de hacking met au défi des chercheurs en sécurité de faire la démonstration de vulnérabilités 0-day dans des produits populaires. Pour cette nouvelle édition, les cibles sont les navigateurs Web (IE11, Chrome, Firefox, Safari), plugins (Flash Player, Adobe Reader, Java).

Un Grand Prix de 150 000 $ a également été mis en jeu pour une exécution de code au niveau système avec Windows 8.1 et IE11 sous la protection de l'outil de sécurité EMET de Microsoft. Néanmoins, il n'y a aucun participant inscrit pour ce Grand Prix.

Toutes les machines prises pour cible doivent être équipées des versions les plus à jour des logiciels, que ce soit Windows 8.1 ou OS X Mavericks (pour Safari), et installées dans leur configuration par défaut. Un intérêt du concours est que les failles exploitées sont communiquées aux éditeurs concernés pour une correction.

Mercredi, Firefox a été compromis à trois reprises et via des vulnérabilités différentes à chaque fois. Pour chaque exploit, la somme de 50 000 $ a été versée. Les autres victimes ont été IE11, Flash Player et Adobe Reader. Elles sont toutes l'œuvre de l'équipe de Vupen (en plus d'un hack pour Firefox).

Cette société de sécurité basée à Montpellier, et à la réputation sulfureuse, a touché le gros lot avec 300 000 dollars. Et elle est encore en lice pour le deuxième jour du concours avec pour cible désignée Google Chrome !

Quelques menus détails sont donnés sur le site officiel du Pwn2Own. Interrogé par Computerworld, un responsable de Zero Day Initiative de HP qui sponsorise le concours, s'est dit " fasciné " de voir les différents moyens utilisés par les chercheurs en sécurité afin de prendre à défaut les protections sandbox et combiner plusieurs vulnérabilités.

Chromebook 11Les équipes (et aussi sponsors) de ZDI et Google se sont directement confrontées lors de ce qui a été baptisé Pwn4Fun. Un amusement qui a abouti à un " hack multi-exploit " de IE11 et la divulgation par ZDI de six vulnérabilités affectant Internet Explorer. De son côté, Google a hacké Safari.

" Google a fourni un exploit très impressionnant contre Safari en lançant la calculatrice en tant que root sur OS X ", écrit une employée de HP Security Research. À noter que les 82 500 $ du Pwn4Fun ont été reversés à la Croix-Rouge canadienne.

Comme l'avait annoncé Google en début d'année, une nouvelle édition de son propre concours de hacking Pwnium n'a pas été oubliée. Sur un Chromebook HP 11, Chrome OS n'a pas résisté. Un chercheur en sécurité a ainsi eu droit à 150 000 $ en plus du Chromebook.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1683572
Y a bon la secu !
Le #1683602
Dans ce contexte à quoi sert un anti-virus et un par-feu.
Le #1683912
Je ne sais pas si je dois rire ou avoir peur

De plus , ça m'étonnerait que les meilleurs hackeurs s'inscrivent à de tels concours ...Pourquoi se tirer une balle dans le pieds en dénonçant les failles alors qu'on peut exploiter les navigateurs ? ...
Le #1684002
Montigny a écrit :

Je ne sais pas si je dois rire ou avoir peur

De plus , ça m'étonnerait que les meilleurs hackeurs s'inscrivent à de tels concours ...Pourquoi se tirer une balle dans le pieds en dénonçant les failles alors qu'on peut exploiter les navigateurs ? ...


salut

les deux hélas

le problème et la divulgation des failles a un tiers malhonnête
Le #1684312
Se déconnecter d'internet sur des machines qui traite de données confidentielles. Il doit y avoir une manière de faire avec Virtualbox pour n'avoir que internet sur la machine virtualisée pas sur la machine hôte. Pour les antivirus, je scanne, sur virustotal.com, systématiquement tout ce que je prends sur le net à moins de 60 Mo. Privatefirewall fait un bon travail mieux que de ne rien avoir.

Mais, il va arrivé un temps que le NET ne sera plus utilisable sans avoir une sécurité comme une machine qui ne soit pas connecté. C'est déjà pas mal le cas.
Le #1685212
dan4 a écrit :

Se déconnecter d'internet sur des machines qui traite de données confidentielles. Il doit y avoir une manière de faire avec Virtualbox pour n'avoir que internet sur la machine virtualisée pas sur la machine hôte. Pour les antivirus, je scanne, sur virustotal.com, systématiquement tout ce que je prends sur le net à moins de 60 Mo. Privatefirewall fait un bon travail mieux que de ne rien avoir.

Mais, il va arrivé un temps que le NET ne sera plus utilisable sans avoir une sécurité comme une machine qui ne soit pas connecté. C'est déjà pas mal le cas.


Utiliser un OS dans une machine virtuelle ne te protège malheureusement en rien... C'est justement grâce aux instructions de virtualisation du processeur que Joanna Rutkowska avait pété Windows Vista avant même sa sortie !!!
http://www.generation-nt.com/microsoft-windows-vista-hacker-black-hat-amd-pacifica-intel-vanderpool-actualite-15917.html

Et scanner un fichier sur un anti-virus en ligne... Comment dire...

Sinon moi je note, juste en passant, hein... que IE 11 : 6 trous / FF : 3 trous... 0:-) Lalalalala... Comme d'hab, on peut vite démontrer que la sécurité par l'obfuscation c'est de la grande balle !!!
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]