Pwn2Own 2011 : Safari vaincu en 5 secondes lors du concours de hacking
Internet Explorer 8 exploité

Les rubriques (actu, forums, tutos) de Développez
Tags
Réseaux sociaux


 Discussion forum

Retrouvez le dossier complet de la rédaction
Sur le même sujet
Le , par Katleen Erna, Expert Confirmé Sénior
La célèbre compétition de hacking Pwn2Own, qui se déroule une fois par an à Vancouver, a commencé hier. Et à l'occasion de cette première journée, deux navigateurs ont été franchement asticotés.

Les spécialistes de la sécurité informatique qui participent au concours devaient choisir chacun un browser à malmener. Et ces derneirs...ont délaissé Firefox, qui n'a été choisi par personne ! Puis, un seul a décidé de s'occuper de Chrome, mais il ne s'est jamais présenté. Les autres concurrents se sont quant à eux concentrés sur Internet Explorer et Safari.

Et le logiciel d'Apple n'aura pas résisté très longtemps. Ainsi, en cette première journée, Safari 5.0.3 est tombé après 5 secondes, sous les manipulations de l'équipe de Vupen Security, une société française, qui a empoché les 15.000 dollars offerts par Cupertino.

Le navigateur tournait sur une version 64 bits de Mac OS X 10.6.6 et a succombé à une faille zero-day. La team Vupen a simplement dirigé Safari sur un site contenant un code malicieux qu'elle avait préparé, qui a exploité une vulnérabilité de Webkit. Une faille qui avait été corrigée hier par Apple, mais le patch est arrivé trop tard pour être intégré au browser avant la compétition.

Que Microsoft ne se réjouisse pas trop vite, car Internet Explorer 8 a rendu les armes peu après. Il était exécuté sur Windows 7 en 64-bits et n'a pas résisté à Stephen Fewer, un irlandais qui a exploité trois vulnérabilités et remporté lui aussi 15.000 dollars. Il a lancé la calculatrice du système d'exploitation via IE8.

La suite demain, avec les attaques sur smartphones.

Source : CanSecWest


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Neko Neko
http://www.developpez.com
Membre Expert
le 10/03/2011 17:52
Bien dommage que personne ne ce soit attaqué à firefox chrome ( et opera, s'il était dispo )...
Avatar de Uther Uther
http://www.developpez.com
Expert Confirmé Sénior
le 10/03/2011 18:06
Il y a certainement du monde qui s'est penché sur le sujet, mais qui n'avaient pas de failles exploitables sous le coude.
Les gens qui participent a ce concours se sont bien sur préparés auparavant. S'ils n'ont pas, ne serais-ce qu'un angle d'attaque sur un navigateur après y avoir passé pas mal de temps, il y a peu de chance qu'il y arrivent en quelque heures.

Il faut dire que Firefox et Chrome ont tous les deux eu droit a un gros patch de sécurité une semaine avant, corrigeant beaucoup de failles. Il est fort probable que des failles que les participants souhaitaient exploiter aient été corrigées.
Avatar de ProgVal ProgVal
http://www.developpez.com
Membre chevronné
le 10/03/2011 18:59
C'est quoi la fameuse faille dans Safari ?
Avatar de saad.hessane saad.hessane
http://www.developpez.com
Membre éprouvé
le 10/03/2011 18:59
Oui mais comme dit dans la news personne ne c'est inscrit. Donc même avant le patch de la semaine dernière personne n'a voulu s'attaquer à firefox...
Avatar de GrandNoliv GrandNoliv
http://www.developpez.com
Membre du Club
le 10/03/2011 19:19
Citation Envoyé par Uther  Voir le message
Il faut dire que Firefox et Chrome ont tous les deux eu droit a un gros patch de sécurité une semaine avant, corrigeant beaucoup de failles. Il est fort probable que des failles que les participants souhaitaient exploiter aient été corrigées.

Et le patch de Safari également sorti tout récemment... n'a pas été appliqué !!!! On se demande pourquoi... La version actuelle est la 5.0.4 et ils ont attaqué la 5.0.3

Soit.

Ça fait un joli titre "Safari vaincu en 5 secondes"… c'est vrai que c'est impressionnant de voir du code s'exécuter en 5 secondes... et peu importe que le hack ait été codé en deux semaines, Safari a été vaincu en 5 secondes.

Oh well...
Avatar de seblutfr seblutfr
http://www.developpez.com
Membre confirmé
le 10/03/2011 19:23
Citation Envoyé par GrandNoliv  Voir le message
Et le patch de Safari également sorti tout récemment... n'a pas été appliqué !!!! On se demande pourquoi... La version actuelle est la 5.0.4 et ils ont attaqué la 5.0.3

Soit.

Ça fait un joli titre "Safari vaincu en 5 secondes"… c'est vrai que c'est impressionnant de voir du code s'exécuter en 5 secondes... et peu importe que le hack ait été codé en deux semaines, Safari a été vaincu en 5 secondes.

Oh well...

Parce que justement le règlement du concours précise que la version à attaquer est celle en vigueur 20 jours (je crois) avant la date du concours, pour que les participants aient le temps de préparer leurs recherches.
La règle est la même pour tous.
Avatar de GrandNoliv GrandNoliv
http://www.developpez.com
Membre du Club
le 10/03/2011 21:17
C’est faux.

Les règles publiées indiquent clairement :
This year the web browser targets will be the latest release candidate (at the time of the contest) of the following products:

Microsoft Internet Explorer
Apple Safari
Mozilla Firefox
Google Chrome

Each browser will be installed on a 64-bit system running the latest version of either OS X or Windows 7.

Source : le lien donné pour lire les règles sur le site officiel : http://dvlabs.tippingpoint.com/blog/...2/pwn2own-2011

Pire, de ce que j’ai pu lire sur arstechnica.com, les autres navigateurs ont effectivement profité des dernières mises à jour parues la semaine dernière.

Ma conclusion n’est certainement pas que Safari est plus sûr que tel ou tel navigateur, mais que ce concours est une vraie farce qui se plaît à faire des gros titres comme celui de cette news, avec du vent.
Avatar de Flaburgan Flaburgan
http://www.developpez.com
Modérateur
le 10/03/2011 21:32
Même pas d'essai sur les autres navigateurs, c'est effectivement décevant... Je ne veux plus entendre "chrome a survécu à tout les Pown2Own", tu parles, personne n'a jamais essayé...
Avatar de gwinyam gwinyam
http://www.developpez.com
Membre Expert
le 10/03/2011 22:10
Surtout que la c'est pas spécialement une faille de Safari mais de Webkit, donc probablement existante aussi sur Chrome.
Oh mince, j'ai dit du mal de Chrome et j'ai tenté de venir au secours d'Apple. Je me sens sale XD
Avatar de air-dex air-dex
http://www.developpez.com
Membre Expert
le 11/03/2011 2:37
Citation Envoyé par Flaburgan  Voir le message
Même pas d'essai sur les autres navigateurs, c'est effectivement décevant... Je ne veux plus entendre "chrome a survécu à tout les Pown2Own", tu parles, personne n'a jamais essayé...

+1 pour le choix des navigateurs. C'est une honte de ne pas avoir Opera (syndrome des scandinaves aux US (cf. Symbian)). A la décharge des organisateurs du Pwn2Own, je ne pense pas que des navigateurs comme AvantBrowser, Maxthon, Sleipnir, SlimBrowser ou Amaya (browser officiel du W3C) n'auraient pas tenu longtemps.

Il en est de même pour les OS. Pourquoi snober Linux ?
Offres d'emploi IT
Technicien support domino h/f
Intérim
Kobaltt - Basse Normandie - Cherbourg (50100)
Parue le 21/10/2014
(H/F) collaborateur comptable
CDI
Grey Consulting - Rhône Alpes - Lyon (69000)
Parue le 24/10/2014
Développeur informatique vba
CDI
ProRH - Ile de France - Mantes-la-Jolie (78200)
Parue le 03/10/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula