Post-Pwn2Own : Firefox fait barrage au hack

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Post-Pwn2Own : Firefox fait barrage au hack

Publié le 23 mars 2015 à 08:56 par Jérôme G.

Lire sur mobile

Au concours de hacking Pwn2Own, tous les navigateurs Web sont tombés ainsi que des plugins Adobe. Mozilla propose d'ores et déjà une mise à jour pour Firefox. Une mystérieuse mise à jour Google Chrome est également diffusée.

Le concours de hacking Pwn2Own s'est déroulé la semaine dernière et rien n'a résisté aux hackers. Tous les navigateurs Web sont tombés (Google Chrome, Firefox, IE11, Safari) ainsi que Adobe Reader et Flash Player dans IE11. Cinq vulnérabilités 0-day ont également été exploitées dans Windows 8.1 (64 bits).

Avec ce concours, les exploits des hackers ne sont pas divulgués publiquement et communiqués par Zero Day Initiative de HP aux éditeurs concernés pour une correction. Elle a été rapide pour Firefox. Le navigateur de Mozilla a d'ores et déjà droit à une mise à jour directement liée au Pwn2Own.

Firefox-nouveau-logo Les deux bugs critiques exploités lors du concours sont comblés avec Firefox 36.0.4. Le premier bug est une élévation de privilèges exploitant une vulnérabilité dans le traitement du format de fichier SVG (image vectorielle) lors d'une navigation. Elle permet d'exécuter des scripts arbitraires.

Le deuxième est une exécution de code arbitraire en local en raison d'une vulnérabilité relative à l'implémentation de la vérification des limites d'un tableau typé et sa gestion dans la compilation JavaScript à la volée.

Ce deuxième bug a été identifié par le hacker ilxu1a dont la tentative de compromission de Google Chrome a par contre échoué. Cela n'a pas été le cas pour lokihardt qui a empoché 110 000 $ pour cela et au total la somme de 225 000 $ pour s'être aussi attaqué avec succès à Internet Explorer et Safari.

Le jour même de la fin du Pwn2Own qui s'est déroulé sur deux jours, Google a diffusé une mise à jour Chrome 41.0.2272.101 pour Windows, OS X et Linux. Les notes de version ne sont que partielles et on ne sait pas si cette mise à jour est liée au Pwn2Own.

Selon toute vraisemblance, Microsoft devrait attendre un Patch Tuesday pour passer à la correction d'Internet Explorer et de Windows, et Adobe devrait se caler sur celui-ci. Tout comme Apple*, Microsoft prend généralement le temps pour les corrections post-Pwn2Own. Mozilla et Google ont toujours été les plus rapides à ce niveau, réagissant presque immédiatement.

Mais rappelons-le, le danger n'est lui pas immédiat puisque les vulnérabilités découvertes ne sont pas publiées avant la correction effective. Il est du reste probable que les hackers les avaient sous le coude depuis un bon moment.

* Curieux " hasard ", Apple avait comblé des vulnérabilités WebKit dans Safari la veille du Pwn2Own. Mais cela n'a pas suffi à épargner le navigateur.