Pwn2Own 2013 : IE 10, Chrome 25, Firefox 19 et Java 7 tombent,
Les chercheurs empochent 280 000 dollars
Le 2013-03-08 10:32:46, par Stéphane le calme, Chroniqueur Actualités
Pwn2Own est un concours annuel où des hackers essaient de contourner la sécurité informatique sur des ordinateurs. Le premier qui réussit à hacker obtient une prime.
L’évènement est organisé à Vancouver pendant la conférence CanSecWest sur la sécurité informatique. Les vulnérabilités trouvées sont divulguées par la suite en secret aux éditeurs des différents logiciels.
Cette année, la compétition a lieu du 06 au 08 mars. Les challengers avaient le choix entre le Pwn2Own traditionnel (hacker des versions récentes de navigateurs, Java, Adobe Reader, Flash) et Pwnium organisé par Google. Pour cette dernière, il fallait hacker l’OS de Chrome et la cagnotte totale s’élève à environ 3,14 millions d’euros.
VUPEN Security, une entreprise française dans la recherche de vulnérabilités, a mis au tapis IE 10 sur Windows 8 en utilisant un bypass sandbox (liaison directe de communication qui ne réserve pas de ressources d'un réseau publique de télécommunication). Elle empoche donc 100 000 dollars et l’ordinateur hébergeant le navigateur ciblé. L’équipe a réussi aussi à hacker Firefox 19 sur Windows 7 en employant la même technique, puis le plugin Java 7 sur IE 9 sous Windows 7.
Chrome 25 va être hacké par Nils & Jon de MWR sur un poste Windows 7. Ils vont exploiter des vulnérabilités non corrigées sur le navigateur et l’OS pour le faire tomber. Les deux collègues vont empocher 100 000 dollars.
ZDI (Zero-Day Initiative) de HP est le plus grand sponsor de cette huitième édition de Pwn2Own.
Source : Blog HP
Et vous ?
Que pensez-vous de cette initiative ?
L’évènement est organisé à Vancouver pendant la conférence CanSecWest sur la sécurité informatique. Les vulnérabilités trouvées sont divulguées par la suite en secret aux éditeurs des différents logiciels.
Cette année, la compétition a lieu du 06 au 08 mars. Les challengers avaient le choix entre le Pwn2Own traditionnel (hacker des versions récentes de navigateurs, Java, Adobe Reader, Flash) et Pwnium organisé par Google. Pour cette dernière, il fallait hacker l’OS de Chrome et la cagnotte totale s’élève à environ 3,14 millions d’euros.
VUPEN Security, une entreprise française dans la recherche de vulnérabilités, a mis au tapis IE 10 sur Windows 8 en utilisant un bypass sandbox (liaison directe de communication qui ne réserve pas de ressources d'un réseau publique de télécommunication). Elle empoche donc 100 000 dollars et l’ordinateur hébergeant le navigateur ciblé. L’équipe a réussi aussi à hacker Firefox 19 sur Windows 7 en employant la même technique, puis le plugin Java 7 sur IE 9 sous Windows 7.
Chrome 25 va être hacké par Nils & Jon de MWR sur un poste Windows 7. Ils vont exploiter des vulnérabilités non corrigées sur le navigateur et l’OS pour le faire tomber. Les deux collègues vont empocher 100 000 dollars.
ZDI (Zero-Day Initiative) de HP est le plus grand sponsor de cette huitième édition de Pwn2Own.
Source : Blog HP
Et vous ?
-
GugelhupfModérateurUn bon moyen de gagner des sousous en toute légalité, en vivant de sa passion, dans une relation gagnant-gagnant.
Je pense que ce type de challenge est un bon investissement pour Google et autres...
J'aimerais beaucoup avoir le niveau des personnes qui trouvent les failles.le 08/03/2013 à 14:14 -
lvrMembre extrêmement actifJe continue dans les questions un peu "bêtes" :
Comment parviennent-ils à exploiter ces failles ? Il faut qu'un code s'exécute sur le navigateur ? Du javascript pour une page normale, du java via les plugin java, du flash via les plugin flash, .... ?le 12/03/2013 à 10:50 -
leminipouceMembre éprouvéle 08/03/2013 à 16:27
-
la.luneMembre chevronnéVraiment c'est un très bon objectif à se fixer, mais certes le métier de hacking n'est pas facile car déjà avant que ces systèmes soient exposés devant les hackers dans ce concours, c'est que les experts des géants de l'informatique pensaient avoir hautement sécurisés leur systèmes alors que..
. Ainsi les experts des géants ne sont pas doublés par des experts, mais je dirais ils sont doublés par des super experts. Alors bonne chance pour toi qui veut arriver là! Moi aussi j'aurais aimé le 09/03/2013 à 1:28 -
garnier54Nouveau membre du Clubbonjour,
ma question est peut etre bete mais je ne conprends pas en quoi consiste la hakage d 'un brower qui se trouve sur un poste client ?
haker un os ou un parfeu pour s introduire sur un poste distant la oui je comprends mais un brower ?
pouver vous m expilquer
mercile 12/03/2013 à 9:03 -
JcpanMembre confirméC'est à travers le piratage du navigateur, qu’ild arrivent à exécuter des commande système et s’approprier l'ordinateur client.
ça se résume à :
Ouverture d'une page, suite à ceci piratage et commande à distance de ton ordinateur.le 12/03/2013 à 9:53 -
JcpanMembre confirméAucune question n'est bête à partir du moment où quelqu'un la pose.
Oui exactement généralement c'est des failles sur des applet ou des fichiers PDF.le 12/03/2013 à 14:14 -
gangsoleilModérateurLe plus facile est de trouver, dans le navigateur, un mecanisme qui execute du code. Theoriquement, cela se fait dans un environnement protege, mais parfois, en faisant par exemple de l'injection de code, on peut sortir de l'environnement protege.
On peut donc imaginer executer le code que l'on veut en dehors de cet environnement. Si ce code ouvre une connexion bi-directionnelle vers l'exterieure, tu as gagne l'acces a la machine.le 12/03/2013 à 14:38