Pwn2Own : les plugins pour navigateur sur le gril

Le par  |  2 commentaire(s)
hacker

Lors de la conférence annuelle de sécurité CanSecWest, le concours de hacking Pwn2Own mettra pour la première fois à l'épreuve des plugins pour navigateur.

La prochaine conférence de sécurité CanSecWest se déroulera du 6 au 8 mars 2013 à Vancouver au Canada. Ce sera également l'occasion d'une nouvelle session pour le concours de hacking Pwn2Own organisé sous l'égide de DVLabs Zero Day Initiative ( HP ).

Depuis l'année dernière, le concours a laissé tombé les smartphones pour ne se concentrer que sur les navigateurs sur des ordinateurs portables à jour. Seront ainsi mis à l'épreuve IE10 sur Windows 8, IE9, Firefox et Google Chrome sur Windows 7, ainsi que Safari sur OS X Lion.

Les participants devront exploiter des vulnérabilités non connues afin de mener une attaque visant à prendre le contrôle de la machine. Si une protection de type sandbox est présente, une évasion complète de la sandbox sera nécessaire pour l'emporter.

À la clé, la machine à remporter et quelques billets verts comme par exemple 100 000 $ pour IE10 sur Windows 8 ou Google Chrome sur Windows 7.

En 2012, Google avait organisé un concours dissident en raison d'un désaccord avec les règles de la compétition qui violaient sa politique de divulgation responsable des vulnérabilités. Pour 2013, Google est à nouveau un sponsor du Pwn2Own. Pour un exploit victorieux, le participant devra lever le voile sur tous les détails de l'attaque qui seront fournis à HP. Les éditeurs concernés seront prévenus.

java-logoMais la nouveauté pour 2013 est l'extension du concours aux plugins pour navigateur. Un choix pour mettre en avant le fait qu'ils sont de plus en plus souvent des vecteurs d'attaque, et donc l'occasion de mettre au point de nouvelles techniques d'atténuation.

Seront plus particulièrement visés les plugins Adobe Reader XI, Adobe Flash et Oracle Java utilisés dans IE9 sur Windows 7. En jeu, la somme de 70 000 $ pour les deux premiers et seulement 20 000 $ pour le plugin d'Oracle.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
patheticcockroach Hors ligne VIP 7663 points
Le #1162962
"et Oracle Java utilisés dans IE9 sur Windows 7"
=>déjà qu'ils ont même pas encore fini de corriger la dernière faille...
http://www.generation-nt.com/java-vulnerabilite-securite-exploit-vente-faux-patch-actualite-1682872.html
Le #1166952
"En jeu, la somme de 70 000 $ pour les deux premiers et seulement 20 000 $ pour le plugin d'Oracle."

Est-ce à dire que c'est trop facile de trouver des faille dans le Java de sun ?
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]