Pwn2Own 2011 : Safari vaincu en 5 secondes lors du concours de hacking

Internet Explorer 8 exploité

La célèbre compétition de hacking Pwn2Own, qui se déroule une fois par an à Vancouver, a commencé hier. Et à l'occasion de cette première journée, deux navigateurs ont été franchement asticotés.

Les spécialistes de la sécurité informatique qui participent au concours devaient choisir chacun un browser à malmener. Et ces derneirs...ont délaissé Firefox, qui n'a été choisi par personne ! Puis, un seul a décidé de s'occuper de Chrome, mais il ne s'est jamais présenté. Les autres concurrents se sont quant à eux concentrés sur Internet Explorer et Safari.

Et le logiciel d'Apple n'aura pas résisté très longtemps. Ainsi, en cette première journée, Safari 5.0.3 est tombé après 5 secondes, sous les manipulations de l'équipe de Vupen Security, une société française, qui a empoché les 15.000 dollars offerts par Cupertino.

Le navigateur tournait sur une version 64 bits de Mac OS X 10.6.6 et a succombé à une faille zero-day. La team Vupen a simplement dirigé Safari sur un site contenant un code malicieux qu'elle avait préparé, qui a exploité une vulnérabilité de Webkit. Une faille qui avait été corrigée hier par Apple, mais le patch est arrivé trop tard pour être intégré au browser avant la compétition.

Que Microsoft ne se réjouisse pas trop vite, car Internet Explorer 8 a rendu les armes peu après. Il était exécuté sur Windows 7 en 64-bits et n'a pas résisté à Stephen Fewer, un irlandais qui a exploité trois vulnérabilités et remporté lui aussi 15.000 dollars. Il a lancé la calculatrice du système d'exploitation via IE8.

La suite demain, avec les attaques sur smartphones.

Source : CanSecWest