Pwn2Own : Safari, IE8, Firefox et l'iPhone sont tombés

Le par  |  6 commentaire(s)
Hacker

À l'issue du premier jour du concours de hacking Pwn2Own, les navigateurs Web associés à un système d'exploitation ont montré leurs failles : Safari 4, Firefox 3 et Internet Explorer 8. Si Google Chrome 4 sort indemne, c'est qu'il n'a pas été testé.

HackerLa conférence CanSecWest sur la sécurité informatique a débuté à Vancouver au Canada avec en marge son désormais traditionnel concours de hacking organisé par la société TippingPoint :  Pwn2Own. Dans le cadre de ce concours, des hackers ( chapeaux blancs ) s'affrontent avec des récompenses à la clé pour ceux qui seront les plus prompts à exploiter des vulnérabilités afin de s'introduire dans des appareils cibles ( pour un contrôle à distance ; sans accès physique à la machine ).

Pour le premier jour de ce concours, les dernières versions des navigateurs Web Internet Explorer, Firefox, Google Chrome et Safari ont été associées aux systèmes d'exploitation Windows 7 et Mac OS X Snow Leopard ( pour Safari ). À la clé, 10 000 $ par cible et pour but d'analyser les niveaux de sécurité actuels des associations navigateurs Web / OS leaders du marché. Le cas échéant, les vulnérabilités exploitées avec succès ne sont pas dévoilées publiquement, et l'éditeur a tout loisir de les combler.

Comme l'année dernière, les navigateurs Web en présence ont failli à l'exception de Google Chrome, mais pour la bonne et simple raison que ce dernier n'a dû subir aucun assaut. En 2009, Charlie Miller avait indiqué que si des vulnérabilités existent bel et bien dans Google Chrome, elles sont difficiles à exploiter, avec outre le modèle de sandbox, les protections de l'OS à contourner.

C'est ce même Charlie Miller, analyste américain en sécurité chez Independent Security Evaluators, qui une fois de plus a été le premier à exploiter avec succès une vulnérabilité dans Safari sur un MacBook Pro avec Mac OS X 10.6. Un équipement qu'il remporte au passage. L'ordinateur cible a été compromis suite à la visite d'un site Web hébergeant un code malveillant.

Peter Vreugdenhil, chercheur en sécurité indépendant hollandais, a pour sa part réussi à exploiter une vulnérabilité ( deux en réalité ) dans Internet Explorer 8 sous Windows 7, et a donc contourné les technologies de protection DEP ( Data Execution Prevention ) et ASLR ( Address Space Layout Randomization ) de l'OS.

De même pour un certain Nils, responsable de recherche pour MWR InfoSecurity ( société basée au Royaume-Uni ), qui a réussi pareil " exploit " via Firefox sous Windows 7. Il a indiqué avoir exploité une vulnérabilité de corruption de mémoire dans Firefox, et donc avoir également contourné ASLR et DEP. Un problème sur lequel Microsoft va devoir se pencher. L'année dernière, Nils était étudiant en Allemagne et avait mis au jour des exploits dans IE8, Safari et Firefox.


L'iPone aussi
Vincenzo Iozzo et Ralf Philipp Weinmann, de la société allemande Zynamics et de l'Université du Luxembourg, vont eux se partager 15 000 $ pour avoir écrit un exploit destiné à voler les contenus d'une base de données SMS sur un iPhone, via une redirection vers un site Web piégé.

Il faut sans doute rappeler qu'il s'agit là d'un concours avec des experts de haut niveau qui avaient déjà préparé leur coup en amont.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #615191
Je pensais qu'il y aurait au moins un ubuntu en installation OEM ...

Je n'adhère pas à la conclusion, on s'en fiche que ces gens là ont renoncé à toute vie sociale pendant 12 mois pour trouver LA faille ou si ils l'ont trouvé en quelques minutes une poignée de jour avant. Ça ne change rien au principe. Avec un iframe on vide votre iphone en 20 secondes, on a un acces shell à votre Mac OS X (sans le planter), on exécute du code quelque soit la version de windows, alsr ou pas, dep ou pas.

Pour la partie téléphonique il y avait au concours : Apple iPhone, RIM Blackberry, Nokia Symbian, Google Android. Apple encore une fois premier \o/
Le #615261
"Je pensais qu'il y aurait au moins un ubuntu" : Ils sont pas fou, ils ne testent que ce qui intéresse les gens...
Le #615371
J'allais justement dire une chose du genre : pourquoi aucune distro GNU/linux n'a été testé ? xD
Le #615411
C'est marrant, autrefois c'était des sinistres inconnus qui démontraient les failles des navigateurs, et devenaient étaient "expert" après avoir été embauchés, maintenant c'est des "experts" qui le font.
je pensais que l'outil de sécunia qui relevaient les vulnérabilités faisaient des utilisateurs windows, des defenses imprenables.
Sinon firefox est plus sensibles du fait de ses nombreuses extensions, faut pas se leurrer. les extensions sont un plus mais niveau sécurité, surtout celles liées aux réseaux sociaux, flux sont des portes ouvertes aux hackers.
Franchement ils n'ont d'experts que le nom car ils travaillent sur ces failles non dévoilées depuis des lustres, rien de glorifiant !
Ch'ui sur que les chinois, vous savez ceux qui ont inventés l'informatique et les composants factices doivent bien rigoler de ces séminaires publicitaires a la gloire des agences de sécu. Non franchement c'est plus ce que c'était ...

Par contre ce qui serait intéressant de serait de savoir en COMBIEN DE TEMPS, tel ou tel navigateur tombe et aussi avec quel type de matériel, OS au complet.

Moi ce que jevoudrais savoir c'est on arriverait à exploiter une faille firefox sur opensbd sur un portable équipé d'outils de sécurité comme sur les portables IBM, toshiba Pro équipés de puces TPM dernière génération avec des swaps, disques durs et cachés chiffrés et avec un Ids digne de ce nom.
Les computers de Mme michu truffés de spy et keylogers en tout genres, pas besoin d'etre experts pour y avoir un accés physique.
je pense qu'il serait aussi utile qu'une france on teste la sécurité de box adsl qui elles sont "ouvertes" tout le temps. tant qu'on y est, qu'on teste aussi leur consommation "nucléaire", vu qu'elles ne sont jamais étaientes.

oldjohn : ça faisait longtemps, mais taggle quoa
Le #615631
bizarre que personne n'évoque l'absence d'opera à ce test?
Le #615951
@DMZ : Je cite un article sur le Web
"[...] contest rules require that the exploit work on the latest stable release of browsers, but without making use of any third-party plug-ins or extensions."

Firefox est sensible car il a des failles, ni plus ni moins.

cf : http://www.fiercecio.com/techwatch/story/firefox-ie8-safari-and-iphone-overcome-day-one-pwn2own/2010-03-26
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]