Pwn2Own : le maître hacker désigné en l'absence des grosses écuries chinoises

Le par  |  11 commentaire(s)
Pwn2Own-2018-master-of-pwn

Les navigateurs Firefox, Microsoft Edge et Safari sont tombés sous les assauts des hackers lors de l'édition 2018 du concours de hacking Pwn2Own. Un concours avec des absents de marque cette année.

Le traditionnel concours de hacking Pwn2Own a eu lieu la semaine dernière en marge de la conférence de sécurité informatique CanSecWest à Vancouver au Canada. Organisé par Zero Day Initiative de Trend Micro, il sacre Richard Zhu - alias fluorescence - comme Master of Pwn.

Sur les deux jours du concours, il a engrangé 12 points et a gagné 120 000 $. Au total, la somme de 267 000 $ sera reversée aux participants.

Richard Zhu a exploité deux bugs d'utilisation d'une zone mémoire après sa libération affectant le navigateur Microsoft Edge, et un dépassement d'entier dans le noyau Windows pour exécuter avec succès son code avec des privilèges élevés.

Son autre succès porte sur le navigateur Firefox de Mozilla et une élévation de privilèges dans le noyau Windows. Par contre, il a échoué pour un échappement de la sanbox en prenant pour cible Safari sur macOS. En dépit de cet échec, les bugs mis en évidence ont été rachetés dans le cadre du programme habituel de ZDI (et non du concours).

Pour le Pwn2Own, les participants venus avec leurs exploits - jusqu'à présent inconnus - disposaient de 30 minutes et trois essais pour en faire la démonstration. Des navigateurs à jour, tout comme le système d'exploitation hôte.

Avec les autres participants, le navigateur Safari est bel et bien tombé, que ce soit avec un échappement de la sandbox ou avec une élévation de privilèges du noyau macOS. Un succès partiel s'inscrit dans un autre registre avec pour cible la solution de virtualisation Oracle VirtualBox.

Pwn2Own-2018Georgi Geshev, Fabi Beterke, Niklas Baumstark, Samuel Groß, Richard Zhu et Alex Plaskett ; crédit : ZDI

Pwn2Own-2018

Lors du Pwn2Own, les vulnérabilités mises au jour ne sont pas divulguées publiquement. Prévenus, les éditeurs concernés ont 90 jours pour développer des correctifs. Mozilla prouve sa grande réactivité avec déjà la correction d'une faille qui a été identifiée pendant le concours, et affectant le traitement de données audio Vorbis. C'est notamment le pourquoi de la mise à jour Firefox 59.0.1 de vendredi.

Plusieurs défis proposés n'ont pas été relevés cette année. Par ailleurs, la somme reversée de 267 000 $ au total peut paraître maigre (833 000 $ en 2017), sachant que le concours était doté de 2 millions de dollars.

Il faut dire que l'édition 2018 a fait sans la présence d'équipes chinoises particulièrement douées dans cet exercice et habituées à la première place. En début de mois, Brian Gorenc de Zero Day Initiative a expliqué a CyberScoop qu'en raison de changements dans les législations de certains pays, des ressortissants ne sont plus autorisés à participer à des concours comme le Pwn2Own.

Il faut ici essentiellement comprendre la Chine qui ne veut plus que ses hackers talentueux partagent des exploits lors de tels concours. Ils sont néanmoins encouragés à faire état de leurs trouvailles directement aux éditeurs concernés.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2005523
Très paritaire comme univers... pas une seule femme
Le #2005524
"Il faut ici essentiellement comprendre la Chine qui ne veut plus que ses hackers talentueux partagent des exploits lors de tels concours."

Tout est dit
Le #2005526
tiliarou a écrit :

Très paritaire comme univers... pas une seule femme


c'est pourtant ouvert à tout le monde
Le #2005529
tiliarou a écrit :

Très paritaire comme univers... pas une seule femme


Elles sont les bienvenues ...
Le #2005535
Oui, je n'ai jamais dit que le concours était volontairement discriminant ni qu'il interdisait les équipes féminines.
Je constate juste que par autocensure et conformisme il y a paradoxalement peu de femme dans ces concours.
Constat = différent de "ouai le concours est sexiste" (je n'ai jamais dit ça).
Le #2005538
tiliarou a écrit :

Oui, je n'ai jamais dit que le concours était volontairement discriminant ni qu'il interdisait les équipes féminines.
Je constate juste que par autocensure et conformisme il y a paradoxalement peu de femme dans ces concours.
Constat = différent de "ouai le concours est sexiste" (je n'ai jamais dit ça).


Autocensure je ne pense pas, surtout quand tu as l'occasion de te mesurer aux meilleurs.

Je pense juste ce que sont les meilleurs qui y vont, et les meilleurs ce sont les asiatiques, peu de blanc etc..

Un peu comme au MIT, il y a enormement d'asiatique. Très pragmatique ces americains, si t'es compétent il n'y a pas vraiment de barrière.
Le #2005555
rborn a écrit :

tiliarou a écrit :

Oui, je n'ai jamais dit que le concours était volontairement discriminant ni qu'il interdisait les équipes féminines.
Je constate juste que par autocensure et conformisme il y a paradoxalement peu de femme dans ces concours.
Constat = différent de "ouai le concours est sexiste" (je n'ai jamais dit ça).


Autocensure je ne pense pas, surtout quand tu as l'occasion de te mesurer aux meilleurs.

Je pense juste ce que sont les meilleurs qui y vont, et les meilleurs ce sont les asiatiques, peu de blanc etc..

Un peu comme au MIT, il y a enormement d'asiatique. Très pragmatique ces americains, si t'es compétent il n'y a pas vraiment de barrière.


C'est un phénomène de société, l'informatique est souvent associé à un homme.
D'ailleur le monde du JV et internet en général est très masculin et au vu de certains comportement sexiste (4chan, forum jv.com), je comprends que ça puisse en rebuter certaines.

"Je pense juste ce que sont les meilleurs qui y vont, et les meilleurs ce sont les asiatiques, peu de blanc etc.." je ne vois pas en quoi l'origine ethnique préjuge de la compétence informatique...
De plus, il y a environ 50% de femmes dans les populations asiatiques donc ça ne change pas la teneur de mon propos .
Le #2005564
tiliarou a écrit :

rborn a écrit :

tiliarou a écrit :

Oui, je n'ai jamais dit que le concours était volontairement discriminant ni qu'il interdisait les équipes féminines.
Je constate juste que par autocensure et conformisme il y a paradoxalement peu de femme dans ces concours.
Constat = différent de "ouai le concours est sexiste" (je n'ai jamais dit ça).


Autocensure je ne pense pas, surtout quand tu as l'occasion de te mesurer aux meilleurs.

Je pense juste ce que sont les meilleurs qui y vont, et les meilleurs ce sont les asiatiques, peu de blanc etc..

Un peu comme au MIT, il y a enormement d'asiatique. Très pragmatique ces americains, si t'es compétent il n'y a pas vraiment de barrière.


C'est un phénomène de société, l'informatique est souvent associé à un homme.
D'ailleur le monde du JV et internet en général est très masculin et au vu de certains comportement sexiste (4chan, forum jv.com), je comprends que ça puisse en rebuter certaines.

"Je pense juste ce que sont les meilleurs qui y vont, et les meilleurs ce sont les asiatiques, peu de blanc etc.." je ne vois pas en quoi l'origine ethnique préjuge de la compétence informatique...
De plus, il y a environ 50% de femmes dans les populations asiatiques donc ça ne change pas la teneur de mon propos .


" au vu de certains comportement sexiste (4chan, forum jv.com), je comprends que ça puisse en rebuter certaines."

Bon, on va pas trop les faire chier sur aufeminin.com et consorts non plus
Le #2005569
tiliarou a écrit :

rborn a écrit :

tiliarou a écrit :

Oui, je n'ai jamais dit que le concours était volontairement discriminant ni qu'il interdisait les équipes féminines.
Je constate juste que par autocensure et conformisme il y a paradoxalement peu de femme dans ces concours.
Constat = différent de "ouai le concours est sexiste" (je n'ai jamais dit ça).


Autocensure je ne pense pas, surtout quand tu as l'occasion de te mesurer aux meilleurs.

Je pense juste ce que sont les meilleurs qui y vont, et les meilleurs ce sont les asiatiques, peu de blanc etc..

Un peu comme au MIT, il y a enormement d'asiatique. Très pragmatique ces americains, si t'es compétent il n'y a pas vraiment de barrière.


C'est un phénomène de société, l'informatique est souvent associé à un homme.
D'ailleur le monde du JV et internet en général est très masculin et au vu de certains comportement sexiste (4chan, forum jv.com), je comprends que ça puisse en rebuter certaines.

"Je pense juste ce que sont les meilleurs qui y vont, et les meilleurs ce sont les asiatiques, peu de blanc etc.." je ne vois pas en quoi l'origine ethnique préjuge de la compétence informatique...
De plus, il y a environ 50% de femmes dans les populations asiatiques donc ça ne change pas la teneur de mon propos .


Je fais un simple constat, les asiatiques sont des monstres en high tech. C'est la raisons pour laquelle les entreprises se les arrache.

https://www.mercurynews.com/2012/11/29/asian-workers-now-dominate-silicon-valley-tech-jobs/

et évidement que je ne fais pas référence à l'origine ethnique uniquement, mais aussi à l’éducation.

https://www.asianscientist.com/2016/05/academia/asian-students-good-maths-science/

Il y a des femmes, elles sont juste plus discrète mais ça va venir, la nouvelle génération arrive.

Puis bon soyons réaliste, les geeks sont souvent moqué pour être renfermé sur eux même, ça aussi c'est pas très attirant.
Donc ils dominent, car ils s'isolent tout seul dans quelque chose qui les passionnent.. car rejeté par les autres et les filles. Oui oui je tombe dans la caricature.

4chan et jv.com ça ce sont des déchets. Et il faut vraiment le vouloir pour y aller sur 4chan..
Le #2005633
skynet a écrit :

tiliarou a écrit :

rborn a écrit :

tiliarou a écrit :

Oui, je n'ai jamais dit que le concours était volontairement discriminant ni qu'il interdisait les équipes féminines.
Je constate juste que par autocensure et conformisme il y a paradoxalement peu de femme dans ces concours.
Constat = différent de "ouai le concours est sexiste" (je n'ai jamais dit ça).


Autocensure je ne pense pas, surtout quand tu as l'occasion de te mesurer aux meilleurs.

Je pense juste ce que sont les meilleurs qui y vont, et les meilleurs ce sont les asiatiques, peu de blanc etc..

Un peu comme au MIT, il y a enormement d'asiatique. Très pragmatique ces americains, si t'es compétent il n'y a pas vraiment de barrière.


C'est un phénomène de société, l'informatique est souvent associé à un homme.
D'ailleur le monde du JV et internet en général est très masculin et au vu de certains comportement sexiste (4chan, forum jv.com), je comprends que ça puisse en rebuter certaines.

"Je pense juste ce que sont les meilleurs qui y vont, et les meilleurs ce sont les asiatiques, peu de blanc etc.." je ne vois pas en quoi l'origine ethnique préjuge de la compétence informatique...
De plus, il y a environ 50% de femmes dans les populations asiatiques donc ça ne change pas la teneur de mon propos .


" au vu de certains comportement sexiste (4chan, forum jv.com), je comprends que ça puisse en rebuter certaines."

Bon, on va pas trop les faire chier sur aufeminin.com et consorts non plus


Sauf que sur aufeminin on a pas vraiment rapporté dans la presse de cas de harcèlement sexuel et autres délits de la sorte (à ma connaissance)...
Suivre les commentaires
Poster un commentaire
Anonyme