Pwn2Own : Safari et Internet Explorer 8 déjà tombés

Lors du sommet CanSecWest, dédié à la sécurité informatique, le concours Pwn2Own commence déjà à récolter ses fruits. Les navigateurs Safari et Internet Explorer 8 ont en effet révélé des failles de sécurité exploitables.

HP TippingPoint, le sponsor principal du concours Pwn2Own, explique que les versions des navigateurs présentés ont été arrêtées deux semaines plus tôt et ce, afin que les hackers puissent prendre le temps d'organiser leurs attaques à l'avance. Sont ainsi mis à l'épreuve : Safari 5.0.3, Chrome 9, Firefox 3.6 et Internet Explorer 8. Bien que le moteur de rendu Presto soit installé sur des millions de terminaux mobiles, le navigateur Opera ne fait cependant pas partie du concours

La société française Vupen a en effet réussi à trouver une brèche au sein de Safari et remporté la somme de 15 000 dollars ainsi qu'un MacBook Air. Sur son compte Twitter officiel Vupen explique que la récente mise à jour de Safari en version 5.0.4, corrige 62 vulnérabilités mais que d'autres restent cependant exploitables. Le magazine ComputerWorld rapporte les propos de Peter Vreugdenhil de HP TippingPoint qui déclare : « Tant que la dernière version présente toujours cette vulnérabilité et que le chercheur a réussi à craquer l'ordinateur à partir de la mouture précédemment arrêtée, il ou elle gagne le concours ».



De son côté, Stephen Fewer, fondateur de la société Harmony Security, a réussi à contourner le dispositif du navigateur permettant d'isoler les composants d'Internet Explorer du reste du système d'exploitation. Sur son profil Twitter l'équipe du département de sécurité de Microsoft explique être déjà en train de plancher sur un correctif. Jerry Bryant, l'un des responsables du département MSRC chez Microsoft précise que les éditeurs disposent de 6 mois pour déployer un patch avant la publication des hacks.