Pwn2Own : Safari, IE8 et Firefox ont tous failli !
Dans le cadre de la conférence CanSecWest sur la sécurité informatique, le concours de hacking Pwn2Own a une nouvelle fois mis sur le devant de la scène Charlie Miller qui a eu besoin de quelques secondes pour faire tomber un Mac. La faute à Safari mais IE8 sur Windows 7 ou encore Firefox ont également chuté.
Annoncé dans nos colonnes, le concours de hacking Pwn2Own est en passe de tenir toutes ses promesses au grand dam des éditeurs de solutions de navigation Web qui vont devoir patcher. Ils auront toutefois le temps nécessaire pour le faire puisque ce concours se déroule sous le sceau du secret et les vulnérabilités exploitées ne seront pas divulguées publiquement.
Miller affectionne le Mac
Comme l'année dernière, Charlie Miller a été le plus prompt (le tirage au sort l'a bien aidé) à inscrire son nom au palmarès 2009. Si en 2008 il lui avait fallu près de deux minutes pour prendre le contrôle d'un Mac en exploitant une vulnérabilité dans Safari, seulement quelques secondes lui auront été nécessaires cette fois-ci.
Pour sa nouvelle prouesse, il empoche la somme de 5 000 dollars ainsi que la victime de son assaut couronné de succès, un Macbook équipé Mac OS X. Miller avait bien préparé son coup, s'assurant avant son entrée dans le concours que la faille mise au jour était bel et bien exploitable, et il faudra se contenter de ses seuls commentaires recueillis par le blog Zero Day : " Ils ont cliqué sur le lien et j'ai pris le contrôle de la machine. "
Nils s'est occupé des trois
Un certain Nils qui souhaite apparemment garder " l'anonymat ", est ensuite entré en piste et via un exploit à l'encontre d'Internet Explorer 8 qualifié d'élégant par la société TippingPoint organisatrice du concours, il a mis à mal un notebook Sony Vaio équipé de la dernière build de Windows 7, défiant donc les technologies de protection DEP (Data Execution Prevention) et ASLR (Address Space Layout Randomization). Et 5 000 $ pour lui en plus de la machine.
Les deux grands vainqueurs avec leur trophée (Charlie Miller et Nils ; crédit TippingPoint)
Mais Nils n'en est pas resté là, puisqu'il a également pointé du doigt une autre vulnérabilité 0-day dans Safari avant de s'en prendre à Firefox. Plus de machine à gagner mais les billets se sont alignés pour former un petit pactole de 15 000 $. Si Nils réussit à produire un exploit à destination de Google Chrome, il aura accompli... un bel exploit.
Tout participant au concours peut désormais être récompensé de 5 000 $ dans la mesure où l'exploit proposé n'est pas déjà connu de l'éditeur. C'est ce qui est par exemple arrivé à l'un d'entre eux.. et pour lui pas de prix. Pour pouvoir prétendre à gagner plus, soit 10 000 $, les hackers doivent se confronter aux systèmes d'exploitation pour mobiles : Android, iPhone, Symbian, Windows Mobile, RIM.
-
Sous Mac OS X Snow Leopard et Windows 7 SP1, les navigateurs Safari et Internet Explorer 8 sont les premiers à avoir démontré leurs failles dans le cadre du concours de hacking Pwn2Own. - À l'issue du premier jour du concours de hacking Pwn2Own, les navigateurs Web associés à un système d'exploitation ont montré leurs failles : Safari 4, Firefox 3 et Internet Explorer 8. Si Google Chrome 4 sort indemne, c'est qu'il n'a...
Poser une question
La légende de la photo de droite indique qu'il s'agit de... Nils!?
@Ptit gourou
Le badge qui sert de cache-sexe est peut-être pour garder l'anonymat. Certaine Fane pourrait le reconnaitre.
Apple c'est pas seulement de la frime mais c'est aussi de la m€r2!
Microsoft n'a plus le privilège des OS de daube!
@Generation NT
Y a-t'il un PC tournant sous Linux qui a pu être hacké?
Je me pose cette question car pour prendre le contrôle d'un système par l'intermédiaire du navigateur il faut aussi que l'OS ai de grave lacune.