Pwn2Own : Chrome et Safari tombent face aux hackeurs

Comme tous les ans, lors de la conférence CanSecWest, les éditeurs de navigateurs soumettent leurs applications à une série de hackeurs tentant d'y orchestrer leurs attaques.

La communauté des white hackeurs joue un rôle fondamentale dans la sécurité des applications. Ces experts tentent effectivement de déceler des failles avant qu'elles ne soient exploitées par des personnes malveillantes. Pour inciter ces travaux, les éditeurs de navigateurs offrent des récompenses tout au long de l'année mais prennent également part à des concours. Le plus connu reste certainement Pwn2Own organisé chaque année.

Après une première journée Chrome, Safari et le lecteur Flash n'ont pas résisté aux exploits des hackeurs. Par la même occasion ces vulnérabilités ont permis de mettre à mal les dernières versions de Windows et OS X.


L'équipe 360Vulcan, de la société chinoise Qihoo 360, a réussi à exploiter une faille de Flash Player lui permettant d'exécuter du code à distance avec une autre affectant le kernel de Windows pour obtenir une élévation des droits du système. Ils ont obtenu 80 000 dollars (60 000 pour Flash Player et 20 000 pour Windows).

Cette même équipe a réussi à malmener le navigateur de Google sur le système Windows. Ils ont cette fois combiné 4 vulnérabilités : une au sein de Chrome, deux dans Flash Player et une dans le kernel de Windows. Cet exploit n'a en revanche été récompensé qu'à moitié puisque la faille de Chrome avait précédemment été partagée avec Google... quand bien même 360Vulcan n'était pas au courant. Ils ont toutefois obtenu 52 000 dollars.

08110132-photo-s-curit-security-banner-gb.jpg

Pwn2Own permet de mesurer le degré de sécurité des navigateurs


De son côté le chercheur coréen JungHoon Lee a obtenir une élévation de droits sur OS X via un hack sur Safari. Il a obtenu 60 000 dollars. L'année dernière, l'homme s'était fait remarquer en obtenant au total 225 000 dollars. Il montrera la semaine prochaine deux autres attaques contre Chrome et Microsoft Edge sur Windows.

Le magazine Computerworld, qui rapporte l'information, ajoute que l'équipe de sécurité de Tencent a obtenu 40 000 dollars en faisant tomber Safari, et 50 000 dollars en présentant une attaque contre Flash Player.


A lire également :
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

Au tour de Subaru de teaser son premier véhicule électrique, le SUV Solterra
Fortnite : après avoir conquis les consoles, le mobile est désormais la priorité
Vous pouvez retrouver un onglet ouvert sur mobile depuis la version desktop de Vivaldi (ou inversement)
NVIDIA Broadcast : une mise à jour 1.2 améliorant la réduction de bruit vidéo et d'écho
eBay propose désormais des tokens non fongible (NFT) à la vente
Ubisoft souhaite dorénavant s’investir dans le marché du free-to-play haut de gamme
Microsoft déploie son Patch Tuesday pour Windows 7 et Windows 8.1
Overwatch 2 : un livestream de deux heures consacré au multijoueur le 20 mai
Ubisoft : une excellente année fiscale 2020-2021 et la meilleure performance de l'histoire d'Assassin's Creed
Google veut optimiser les arrière-plans incrustés en rééclairant votre visage
Haut de page