Pwn2Own : rien ne résiste aux hackers

Le par  |  2 commentaire(s) Source : HP Security Research Blog
Hacker illustration

Une vingtaine de bugs utilisés lors du concours de hacking Pwn2Own. Ils ont permis à des hackers de faire tomber les principaux navigateurs Web, Google Chrome compris, ainsi que Flash et Reader d'Adobe. Ces hackers se partageront près de 557 500 $.

Comme chaque année, le concours de hacking Pwn2Own vient de se dérouler en marge de la conférence de sécurité CanSecWest au Canada. Avec pour munitions des exploits qu'ils ont préparés parfois longtemps à l'avance, des hackers doivent pénétrer des ordinateurs équipés des versions les plus à jour des logiciels et installées dans leur configuration par défaut. Leurs efforts se concentrent sur les navigateurs Web.

Dans la ligne de mire, Google Chrome (64 bits), Internet Explorer 11 (64 bits et avec l'outil de protection EMET ; Enhanced Mitigation Experience Toolkit), Firefox, Adobe Reader et Flash Player (64 bits) dans IE11 et tournant sur une configuration Windows 8.1 en 64 bits. Sous OS X Yosemite, la cible était Safari.

À l'issue des deux jours de compétition, rien n'a résisté même si une tentative a été annulée au dernier moment et une autre a avorté. Les diverses protections et autres techniques de sandboxing n'ont pas empêché les hackers de parvenir à leurs fins (une exécution de code arbitraire). Ils vont se partager la somme de 557 500 $ pour ce concours sous l'égide de Zero Day Initiative de HP et avec également pour sponsor le Project Zero de Google.

JungHoon-LeeVingt-et-un bugs de sécurité non encore connus à ce jour ont été identifiés et exploités, ce qui comprend également cinq vulnérabilités dans le système d'exploitation Windows. Le règlement du concours fait que ces bugs ne seront pas rendus publics. Ils seront communiqués aux éditeurs concernés qui pourront les corriger.

La session la plus rémunératrice a été pour JungHoon Lee alias lokihardt (Corée du Sud). Pour la compromission de Google Chrome (version et aussi bêta en bonus), il empoche 110 000 $. Ce jeune hacker a tiré parti d'un dépassement de tampon dans Chrome ainsi que de deux bugs dans les pilotes du noyau Windows pour obtenir un accès système.

La participation de JungHoon Lee au deuxième jour du Pwn2Own a été fructueuse puisqu'il a également empoché 65 000 $ et 50 000 $ en faisant tomber IE11 et Safari. Pour lui seul, ce sera donc 225 000 $ (plus de 210 000 €). Cela valait le coup...

À attendre pour ces prochains jours et semaines plusieurs mises à jour de sécurité de la part de Microsoft, Google, Apple et Adobe.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1837092
Hum, bonne nouvelle donc !

Pourquoi me semblait-il avoir lu que ce genre de "concours" n'allait plus avoir lieu du moins sans Google sous pretexte qu'il préfère ne plus attendre le moment du
concours pour corriger des failles.

Apparement, les mecs attendent la date du concours pour se remplir les poches de ce fait, les failles restent utilisable plusieurs mois ...


Le #1837254
"ce qui comprend également cinq vulnérabilités dans le système d'exploitation Windows."

Lol !!! pourquoi ne suis-je plus étonné que ce soit le seul OS concerné ???


"Ces hackers se partageront près de 415 000 €"..."Ils vont se partager la somme de 442 500 $"

Ah... j'adore quand les auteurs de GNT montrent toute leur science....
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]