Pwn2Own : Safari, IE8 et Firefox ont tous failli !

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Pwn2Own : Safari, IE8 et Firefox ont tous failli !

Publié le 19 mars 2009 à 15:51 par Jérôme G.

Lire sur mobile

Dans le cadre de la conférence CanSecWest sur la sécurité informatique, le concours de hacking Pwn2Own a une nouvelle fois mis sur le devant de la scène Charlie Miller qui a eu besoin de quelques secondes pour faire tomber un Mac. La faute à Safari mais IE8 sur Windows 7 ou encore Firefox ont également chuté.

Annoncé dans nos colonnes, le concours de hacking Pwn2Own est en passe de tenir toutes ses promesses au grand dam des éditeurs de solutions de navigation Web qui vont devoir patcher. Ils auront toutefois le temps nécessaire pour le faire puisque ce concours se déroule sous le sceau du secret et les vulnérabilités exploitées ne seront pas divulguées publiquement.

Miller affectionne le Mac
Comme l'année dernière, Charlie Miller a été le plus prompt (le tirage au sort l'a bien aidé) à inscrire son nom au palmarès 2009. Si en 2008 il lui avait fallu près de deux minutes pour prendre le contrôle d'un Mac en exploitant une vulnérabilité dans Safari, seulement quelques secondes lui auront été nécessaires cette fois-ci.

Pour sa nouvelle prouesse, il empoche la somme de 5 000 dollars ainsi que la victime de son assaut couronné de succès, un Macbook équipé Mac OS X. Miller avait bien préparé son coup, s'assurant avant son entrée dans le concours que la faille mise au jour était bel et bien exploitable, et il faudra se contenter de ses seuls commentaires recueillis par le blog Zero Day : " Ils ont cliqué sur le lien et j'ai pris le contrôle de la machine. "

Nils s'est occupé des trois
Un certain Nils qui souhaite apparemment garder " l'anonymat ", est ensuite entré en piste et via un exploit à l'encontre d'Internet Explorer 8 qualifié d'élégant par la société TippingPoint organisatrice du concours, il a mis à mal un notebook Sony Vaio équipé de la dernière build de Windows 7, défiant donc les technologies de protection DEP (Data Execution Prevention) et ASLR (Address Space Layout Randomization). Et 5 000 $ pour lui en plus de la machine.

Mais Nils n'en est pas resté là, puisqu'il a également pointé du doigt une autre vulnérabilité 0-day dans Safari avant de s'en prendre à Firefox. Plus de machine à gagner mais les billets se sont alignés pour former un petit pactole de 15 000 $. Si Nils réussit à produire un exploit à destination de Google Chrome, il aura accompli... un bel exploit.

Tout participant au concours peut désormais être récompensé de 5 000 $ dans la mesure où l'exploit proposé n'est pas déjà connu de l'éditeur. C'est ce qui est par exemple arrivé à l'un d'entre eux.. et pour lui pas de prix. Pour pouvoir prétendre à gagner plus, soit 10 000 $, les hackers doivent se confronter aux systèmes d'exploitation pour mobiles : Android, iPhone, Symbian, Windows Mobile, RIM.