Post-Pwn2Own : Firefox fait barrage au hack

Le par  |  8 commentaire(s)
hacker

Au concours de hacking Pwn2Own, tous les navigateurs Web sont tombés ainsi que des plugins Adobe. Mozilla propose d'ores et déjà une mise à jour pour Firefox. Une mystérieuse mise à jour Google Chrome est également diffusée.

Le concours de hacking Pwn2Own s'est déroulé la semaine dernière et rien n'a résisté aux hackers. Tous les navigateurs Web sont tombés (Google Chrome, Firefox, IE11, Safari) ainsi que Adobe Reader et Flash Player dans IE11. Cinq vulnérabilités 0-day ont également été exploitées dans Windows 8.1 (64 bits).

Avec ce concours, les exploits des hackers ne sont pas divulgués publiquement et communiqués par Zero Day Initiative de HP aux éditeurs concernés pour une correction. Elle a été rapide pour Firefox. Le navigateur de Mozilla a d'ores et déjà droit à une mise à jour directement liée au Pwn2Own.

Firefox-nouveau-logoLes deux bugs critiques exploités lors du concours sont comblés avec Firefox 36.0.4. Le premier bug est une élévation de privilèges exploitant une vulnérabilité dans le traitement du format de fichier SVG (image vectorielle) lors d'une navigation. Elle permet d'exécuter des scripts arbitraires.

Le deuxième est une exécution de code arbitraire en local en raison d'une vulnérabilité relative à l'implémentation de la vérification des limites d'un tableau typé et sa gestion dans la compilation JavaScript à la volée.

Ce deuxième bug a été identifié par le hacker ilxu1a dont la tentative de compromission de Google Chrome a par contre échoué. Cela n'a pas été le cas pour lokihardt qui a empoché 110 000 $ pour cela et au total la somme de 225 000 $ pour s'être aussi attaqué avec succès à Internet Explorer et Safari.

Le jour même de la fin du Pwn2Own qui s'est déroulé sur deux jours, Google a diffusé une mise à jour Chrome 41.0.2272.101 pour Windows, OS X et Linux. Les notes de version ne sont que partielles et on ne sait pas si cette mise à jour est liée au Pwn2Own.

Selon toute vraisemblance, Microsoft devrait attendre un Patch Tuesday pour passer à la correction d'Internet Explorer et de Windows, et Adobe devrait se caler sur celui-ci. Tout comme Apple*, Microsoft prend généralement le temps pour les corrections post-Pwn2Own. Mozilla et Google ont toujours été les plus rapides à ce niveau, réagissant presque immédiatement.

Mais rappelons-le, le danger n'est lui pas immédiat puisque les vulnérabilités découvertes ne sont pas publiées avant la correction effective. Il est du reste probable que les hackers les avaient sous le coude depuis un bon moment.

* Curieux " hasard ", Apple avait comblé des vulnérabilités WebKit dans Safari la veille du Pwn2Own. Mais cela n'a pas suffi à épargner le navigateur.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1837321
"Microsoft prend généralement le temps pour les corrections post-Pwn2Own."

Arrêtez de vous raconter des histoires : tout le monde sait que microsoft n'a aucune réactivité face aux problèmes de sécurité, contrairement aux logiciels libres qui comblent leurs failles en un temps record. Les récents coups de dents avec google l'ont encore démontré récemment...

Il faudrait également expliquer aux gens que l'antivirus est une poudre aux yeux consommatrices de ressources. C'est plus du curatif quand il est trop tard que du préventif, mais là, c'est aussi la faute des usagers qui ne veulent pas apprendre les bases de l'informatique... Face au problème de la sécurité aujourd'hui, ça se résume tout simplement à GNU/Linux ou rien !
Le #1837325
Hansi a écrit :

"Microsoft prend généralement le temps pour les corrections post-Pwn2Own."

Arrêtez de vous raconter des histoires : tout le monde sait que microsoft n'a aucune réactivité face aux problèmes de sécurité, contrairement aux logiciels libres qui comblent leurs failles en un temps record. Les récents coups de dents avec google l'ont encore démontré récemment...

Il faudrait également expliquer aux gens que l'antivirus est une poudre aux yeux consommatrices de ressources. C'est plus du curatif quand il est trop tard que du préventif, mais là, c'est aussi la faute des usagers qui ne veulent pas apprendre les bases de l'informatique... Face au problème de la sécurité aujourd'hui, ça se résume tout simplement à GNU/Linux ou rien !


Microsoft, c'est aussi le gagne-pain de tous ceux qui tournent autour de la sécurité et pas uniquement ceux qui ramassent la mise au Pwn2Own. Si Microsoft se mettait à sortir des produits fiables et surs, des millions de personnes se retrouveraient au chômage dans le monde. De toutes façons les pigeons s'est fait pour se faire pigeonner et en plus ils sont contents comme ça.
Le #1837330
Les commentaires précédents sont juste affligeants et révèlent à quel point toute une partie des utilisateurs d'ordinateurs vivent dans leur monde et oublient la réalité. Tout en se prenant pour des kadors. Qu'on aime ou pas Microsoft, sur les postes utilisateurs c'est la réalité. Et Linux est un fantasme qui perdure depuis plus d'une décennie.

Si changement il y a dans les années qui viennent (ce dont je ne suis pas certain, loin de là, ce ne sera sans doute pas en faveur de Linux, parce que l'utilisateur lambda s'en tape. Ce qu'il veut c'est un OS accessible, basique et tape-à-l'oeil qui lui rappelle son smartphone. D'où ma crainte que dans un futur proche les OS desktop classiques disparaissent au profit d'OS hybride bien plus restrictifs et verrouillés. Microsoft a essayé de lancer cette transition avec "Windows 8".

La révolution Linux, ça fait juste plus de dix ans qu'on me répète qu'elle est imminente. Elle viendra sans doute avec les voitures volantes et la domotique .
Le #1837381
Sicyons a écrit :

Les commentaires précédents sont juste affligeants et révèlent à quel point toute une partie des utilisateurs d'ordinateurs vivent dans leur monde et oublient la réalité. Tout en se prenant pour des kadors. Qu'on aime ou pas Microsoft, sur les postes utilisateurs c'est la réalité. Et Linux est un fantasme qui perdure depuis plus d'une décennie.

Si changement il y a dans les années qui viennent (ce dont je ne suis pas certain, loin de là, ce ne sera sans doute pas en faveur de Linux, parce que l'utilisateur lambda s'en tape. Ce qu'il veut c'est un OS accessible, basique et tape-à-l'oeil qui lui rappelle son smartphone. D'où ma crainte que dans un futur proche les OS desktop classiques disparaissent au profit d'OS hybride bien plus restrictifs et verrouillés. Microsoft a essayé de lancer cette transition avec "Windows 8".

La révolution Linux, ça fait juste plus de dix ans qu'on me répète qu'elle est imminente. Elle viendra sans doute avec les voitures volantes et la domotique .


LOL !!!! Et tu me rappelles sous quel OS il tourne son smartphone (ou sa box ou - bientôt - sa montre) à l'utilisateur lambda ?????
Le #1837382
"Mais rappelons-le, le danger n'est lui pas immédiat puisque les vulnérabilités découvertes ne sont pas publiées avant la correction effective."

Ça c'est du pro de la sécurité (brainwashé par M$ ?) qui parle !!! Mais c'est bien sûr !!! c'est évident !!! puisque personne n'en parle, c'est qu'elles n'existent pas ces failles !!!

Nan mais franchement, si qq white-hat hackers enfermés qq heures dans une salle et à qui on a fait miroiter qqs milliers de $ pour trouver des failles ont pu en trouver des ultra-critiques, vous croyez franchement que des vrais black-hats avec la mafia ou les services secrets derrière eux (et donc potentiellement encore plus de milliers de $: n° de cartes bancaires, info privées de stars ou de personnes ciblées, etc.) ne les trouveront pas ????

BIEN SÛR QU'IL FAUT CORRIGER - ET AU PLUS VITE - N'IMPORTE QUELLE FAILLE DÉCOUVERTE !!!
Le #1837405
Sicyons a écrit :

Les commentaires précédents sont juste affligeants et révèlent à quel point toute une partie des utilisateurs d'ordinateurs vivent dans leur monde et oublient la réalité. Tout en se prenant pour des kadors. Qu'on aime ou pas Microsoft, sur les postes utilisateurs c'est la réalité. Et Linux est un fantasme qui perdure depuis plus d'une décennie.

Si changement il y a dans les années qui viennent (ce dont je ne suis pas certain, loin de là, ce ne sera sans doute pas en faveur de Linux, parce que l'utilisateur lambda s'en tape. Ce qu'il veut c'est un OS accessible, basique et tape-à-l'oeil qui lui rappelle son smartphone. D'où ma crainte que dans un futur proche les OS desktop classiques disparaissent au profit d'OS hybride bien plus restrictifs et verrouillés. Microsoft a essayé de lancer cette transition avec "Windows 8".

La révolution Linux, ça fait juste plus de dix ans qu'on me répète qu'elle est imminente. Elle viendra sans doute avec les voitures volantes et la domotique .


Quand la concurrence n'est pas faussée par un abus de position dominante; le parc installé se partage en :
linux 55.3% des smartphones (android, firefox OS, Sailfish OS, Unbuntu Touch )
Ios 30.5% des smartphones
windows 1.9% des smartphones
QNX (BBB 10) 1% des smartphones

soit 99.1% de la base installée n'utilise pas le soit disant incontournable M$ W$ ...

et 100% des box internet en France ... ou 98% des 500 machines les plus puissantes dans le monde ...
Le #1837471
Sicyons a écrit :

Les commentaires précédents sont juste affligeants et révèlent à quel point toute une partie des utilisateurs d'ordinateurs vivent dans leur monde et oublient la réalité. Tout en se prenant pour des kadors. Qu'on aime ou pas Microsoft, sur les postes utilisateurs c'est la réalité. Et Linux est un fantasme qui perdure depuis plus d'une décennie.

Si changement il y a dans les années qui viennent (ce dont je ne suis pas certain, loin de là, ce ne sera sans doute pas en faveur de Linux, parce que l'utilisateur lambda s'en tape. Ce qu'il veut c'est un OS accessible, basique et tape-à-l'oeil qui lui rappelle son smartphone. D'où ma crainte que dans un futur proche les OS desktop classiques disparaissent au profit d'OS hybride bien plus restrictifs et verrouillés. Microsoft a essayé de lancer cette transition avec "Windows 8".

La révolution Linux, ça fait juste plus de dix ans qu'on me répète qu'elle est imminente. Elle viendra sans doute avec les voitures volantes et la domotique .


Linux c'est ton fantasme pas le mien et puis comme le rappelle d'autres post, même toi tu l'utilises sans le savoir. La transition, elle a déjà commencé, elle ne s'appelle pas ni desktop, ni Linux, elle s'appelle smartphone et aujourd'hui ton incontournable Windows c'est juste 15% des accès internet globaux. Par contre, ce qu'il reste ce sont des millions de boites dans le monde qui vivent en rafistolant Windows, ça c'est encore une réalité, même si elles ont du souci à se faire.
Le #1837521
penseurodin a écrit :

Sicyons a écrit :

Les commentaires précédents sont juste affligeants et révèlent à quel point toute une partie des utilisateurs d'ordinateurs vivent dans leur monde et oublient la réalité. Tout en se prenant pour des kadors. Qu'on aime ou pas Microsoft, sur les postes utilisateurs c'est la réalité. Et Linux est un fantasme qui perdure depuis plus d'une décennie.

Si changement il y a dans les années qui viennent (ce dont je ne suis pas certain, loin de là, ce ne sera sans doute pas en faveur de Linux, parce que l'utilisateur lambda s'en tape. Ce qu'il veut c'est un OS accessible, basique et tape-à-l'oeil qui lui rappelle son smartphone. D'où ma crainte que dans un futur proche les OS desktop classiques disparaissent au profit d'OS hybride bien plus restrictifs et verrouillés. Microsoft a essayé de lancer cette transition avec "Windows 8".

La révolution Linux, ça fait juste plus de dix ans qu'on me répète qu'elle est imminente. Elle viendra sans doute avec les voitures volantes et la domotique .


Linux c'est ton fantasme pas le mien et puis comme le rappelle d'autres post, même toi tu l'utilises sans le savoir. La transition, elle a déjà commencé, elle ne s'appelle pas ni desktop, ni Linux, elle s'appelle smartphone et aujourd'hui ton incontournable Windows c'est juste 15% des accès internet globaux. Par contre, ce qu'il reste ce sont des millions de boites dans le monde qui vivent en rafistolant Windows, ça c'est encore une réalité, même si elles ont du souci à se faire.


Je t'aime toujours autant, tu sais ?
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]