Pwn2Own : IE10, Chrome, Firefox et Java sont tombés

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Pwn2Own : IE10, Chrome, Firefox et Java sont tombés

Publié le 07 mars 2013 à 19:45 par Jérôme G.

Lire sur mobile

Lors de la première journée du concours de hacking Pwn2Own, tous les principaux navigateurs Web dans leur version stable la plus à jour ainsi que Java n'ont pas résisté aux attaques.

Dans les prochains jours, une fournée de mises à jour de sécurité est d'ores et déjà à prévoir. Dans le cadre du concours de hacking Pwn2Own, Internet Explorer 10, Google Chrome et Firefox n'ont pas résisté aux attaques des participants en lice. Le plugin Java pour Internet Explorer 9 a également succombé à l'exploitation de vulnérabilités 0-day.

Les chercheurs de la société française Vupen ont compromis la sécurité de IE10 sur une tablette Surface Pro fonctionnant donc avec Windows 8 Pro. Deux failles 0-day ont été exploitées et la protection sandbox a été prise à défaut.

Ils ont récidivé avec Firefox 19 sur Windows 7 via une vulnérabilité et une technique pour se dépatouiller de la protection ASLR et DEP du système d'exploitation. Ils ont ajouté Java 7 sur Windows 7 à leur tableau de chasse.

Google Chrome 25 a été attaqué avec succès par deux chercheurs du MWR Labs via deux vulnérabilités pour passer outre la sandbox du navigateur sur Windows 7. Une vulnérabilité supplémentaire dans le noyau Windows leur a permis d'exécuter du code arbitraire.

La première journée a été complétée par les succès de deux chercheurs d'Accuvant Labs et Contextis à l'encontre de Java.

Conformément aux règles du concours, toutes les vulnérabilités 0-day et techniques utilisées pour les attaques sont rapportées aux éditeurs concernés afin de leur permettre de mettre au point de correctifs. Un concours qui est pour rappel doté de primes :