Pwn2Own : IE10, Chrome, Firefox et Java sont tombés

Le par  |  6 commentaire(s) Source : SC Magazine
donnees-binaires

Lors de la première journée du concours de hacking Pwn2Own, tous les principaux navigateurs Web dans leur version stable la plus à jour ainsi que Java n'ont pas résisté aux attaques.

Dans les prochains jours, une fournée de mises à jour de sécurité est d'ores et déjà à prévoir. Dans le cadre du concours de hacking Pwn2Own, Internet Explorer 10, Google Chrome et Firefox n'ont pas résisté aux attaques des participants en lice. Le plugin Java pour Internet Explorer 9 a également succombé à l'exploitation de vulnérabilités 0-day.

Pwn2Own-resultats-journee-1 Les chercheurs de la société française Vupen ont compromis la sécurité de IE10 sur une tablette Surface Pro fonctionnant donc avec Windows 8 Pro. Deux failles 0-day ont été exploitées et la protection sandbox a été prise à défaut.

Ils ont récidivé avec Firefox 19 sur Windows 7 via une vulnérabilité et une technique pour se dépatouiller de la protection ASLR et DEP du système d'exploitation. Ils ont ajouté Java 7 sur Windows 7 à leur tableau de chasse.

Google Chrome 25 a été attaqué avec succès par deux chercheurs du MWR Labs via deux vulnérabilités pour passer outre la sandbox du navigateur sur Windows 7. Une vulnérabilité supplémentaire dans le noyau Windows leur a permis d'exécuter du code arbitraire.

La première journée a été complétée par les succès de deux chercheurs d'Accuvant Labs et Contextis à l'encontre de Java.

Conformément aux règles du concours, toutes les vulnérabilités 0-day et techniques utilisées pour les attaques sont rapportées aux éditeurs concernés afin de leur permettre de mettre au point de correctifs. Un concours qui est pour rappel doté de primes :

Pwn2Own-prix 

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1217432
Et voila! aucun navigateur n'est fiable.
Le #1217462
Kasbery a écrit :

Et voila! aucun navigateur n'est fiable.


Malheureusement ca date pas d'hier et ca ne changera jamais ...
Le #1217472
Kasbery a écrit :

Et voila! aucun navigateur n'est fiable.


Ils le sont tous, ca dépend sur quoi ils sont installés Remarque juste les OS cités
Le #1217572
Ulysse2K a écrit :

Kasbery a écrit :

Et voila! aucun navigateur n'est fiable.


Ils le sont tous, ca dépend sur quoi ils sont installés Remarque juste les OS cités


warning warning.....

t'as 4 heures d'avance là....
patheticcockroach Hors ligne VIP 7663 points
Le #1217762
Ulysse2K a écrit :

Kasbery a écrit :

Et voila! aucun navigateur n'est fiable.


Ils le sont tous, ca dépend sur quoi ils sont installés Remarque juste les OS cités


Ca dépend aussi qui s'en sert pour aller où
Le #1217972
Ulysse2K a écrit :

Kasbery a écrit :

Et voila! aucun navigateur n'est fiable.


Ils le sont tous, ca dépend sur quoi ils sont installés Remarque juste les OS cités


Webkit:
(Chrome on Windows & Safari on OSX)

CVE-2010-0050 : Apple Webkit Blink Event Dangling Pointer Remote Code Execution Vulnerability
CVE-2011-0115 : Apple Safari WebKit Range Object Remote Code Execution Vulnerability


Team
VUPEN: 123 Points
0Day (32 Points each)

Google Chrome: Full sandbox escape and code execution
Microsoft Internet Explorer: Protective Mode Bypass and code execution

CVE Challenge (10/9/8 Points each, depending on the day)

CVE-2010-3346 (Internet Explorer)
CVE-2009-3077 (Firefox)
CVE-2011-0115 (Safari)
CVE-2010-0050 (Safari)
CVE-2010-0248 (Internet Explorer)
CVE-2010-2752 (Firefox)



Willem & Vincenzo: 66 Points
0Day (32 Points each)

Mozilla Firefox: Full code execution

CVE Challenge (10/9/8 Points each, depending on the day)

CVE-2010-3346 (Internet Explorer)
CVE-2011-0115 (Safari)
CVE-2010-0050 (Safari)
CVE-2010-2752 (Firefox)

Pourquoi ce n'est pas précisé dans la news... va savoir...
Le #1218692
Valu a écrit :

Ulysse2K a écrit :

Kasbery a écrit :

Et voila! aucun navigateur n'est fiable.


Ils le sont tous, ca dépend sur quoi ils sont installés Remarque juste les OS cités


Webkit:
(Chrome on Windows & Safari on OSX)

CVE-2010-0050 : Apple Webkit Blink Event Dangling Pointer Remote Code Execution Vulnerability
CVE-2011-0115 : Apple Safari WebKit Range Object Remote Code Execution Vulnerability


Team
VUPEN: 123 Points
0Day (32 Points each)

Google Chrome: Full sandbox escape and code execution
Microsoft Internet Explorer: Protective Mode Bypass and code execution

CVE Challenge (10/9/8 Points each, depending on the day)

CVE-2010-3346 (Internet Explorer)
CVE-2009-3077 (Firefox)
CVE-2011-0115 (Safari)
CVE-2010-0050 (Safari)
CVE-2010-0248 (Internet Explorer)
CVE-2010-2752 (Firefox)



Willem & Vincenzo: 66 Points
0Day (32 Points each)

Mozilla Firefox: Full code execution

CVE Challenge (10/9/8 Points each, depending on the day)

CVE-2010-3346 (Internet Explorer)
CVE-2011-0115 (Safari)
CVE-2010-0050 (Safari)
CVE-2010-2752 (Firefox)

Pourquoi ce n'est pas précisé dans la news... va savoir...


Mon post était un petit troll Par contre le tien est une info vraiment intéressante et pertinente
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]