Google et Mozilla s'empressent de publier des mises à jour
Après les hacks de Chrome 25 et Firefox 19 au Pwn2Own
Le 2013-03-11 15:31:55, par Stéphane le calme, Chroniqueur Actualités
24 heures après le hack de Chrome 25 sous Windows 7 par Nils et Jon de la société MWR, les mises à jour de sécurité du navigateur sont disponibles.
Dans le même laps de temps, Mozilla a aussi colmaté les failles de sécurité pour Firefox 19 révélées par VUPEN Security sous Windows 7.
Dans un blog, le Directeur de la Sécurité de Mozilla, Michael Coates, déclare que l’équipe a reçu les détails techniques le mercredi soir, a diagnostiqué le problème et corrigé celui-ci.
À titre de rappel, les deux vainqueurs ont utilisés un bypass sandbox (liaison directe de communication qui ne réserve pas de ressources d'un réseau public de télécommunication) en exploitant des vulnérabilités non corrigées des navigateurs.
Ces correctifs de sécurité seront appliqués automatiquement, pour la plupart des utilisateurs, via le processus de mise à jour silencieux des deux navigateurs.
Bien qu’IE 10 ait été piraté par VUPEN sur Windows 8 le même jour que Firefox, un correctif de sécurité ne serait pas disponible avant demain 12 mars.
La suite de la compétition Pwn2Own 2013 a été encore riche en hacks. Plusieurs autres produits sont tombés. Java a été piraté par Ben Murphy via un proxy pour la somme de 20 000 $. Un jeune de 23 ans, George Hotz, plus connu pour son déverrouillage de l’iPhone et de la PlayStation 3 (actuellement poursuivi par Sony à cause de cet acte) est venu à bout du lecteur PDF Adobe Reader pour une somme de 70 000 dollars.
La société VUPEN, quant à elle, a réalisé un quadruplé en déjouant la sécurité du plugin Flash pour 70 000 $ en plus de IE 10, Firefox et Java.
Source : Blog Mozilla , Bulletin de sécurité Microsoft
Dans le même laps de temps, Mozilla a aussi colmaté les failles de sécurité pour Firefox 19 révélées par VUPEN Security sous Windows 7.
Dans un blog, le Directeur de la Sécurité de Mozilla, Michael Coates, déclare que l’équipe a reçu les détails techniques le mercredi soir, a diagnostiqué le problème et corrigé celui-ci.
À titre de rappel, les deux vainqueurs ont utilisés un bypass sandbox (liaison directe de communication qui ne réserve pas de ressources d'un réseau public de télécommunication) en exploitant des vulnérabilités non corrigées des navigateurs.
Ces correctifs de sécurité seront appliqués automatiquement, pour la plupart des utilisateurs, via le processus de mise à jour silencieux des deux navigateurs.
Bien qu’IE 10 ait été piraté par VUPEN sur Windows 8 le même jour que Firefox, un correctif de sécurité ne serait pas disponible avant demain 12 mars.
La suite de la compétition Pwn2Own 2013 a été encore riche en hacks. Plusieurs autres produits sont tombés. Java a été piraté par Ben Murphy via un proxy pour la somme de 20 000 $. Un jeune de 23 ans, George Hotz, plus connu pour son déverrouillage de l’iPhone et de la PlayStation 3 (actuellement poursuivi par Sony à cause de cet acte) est venu à bout du lecteur PDF Adobe Reader pour une somme de 70 000 dollars.
La société VUPEN, quant à elle, a réalisé un quadruplé en déjouant la sécurité du plugin Flash pour 70 000 $ en plus de IE 10, Firefox et Java.
Source : Blog Mozilla , Bulletin de sécurité Microsoft
-
lvrMembre extrêmement actifJe continue dans les questions un peu "bêtes" :
Comment parviennent-ils à exploiter ces failles ? Il faut qu'un code s'exécute sur le navigateur ? Du javascript pour une page normale, du java via les plugin java, du flash via les plugin flash, .... ?le 12/03/2013 à 10:50 -
garnier54Nouveau membre du Clubbonjour,
ma question est peut etre bete mais je ne conprends pas en quoi consiste la hakage d 'un brower qui se trouve sur un poste client ?
haker un os ou un parfeu pour s introduire sur un poste distant la oui je comprends mais un brower ?
pouver vous m expilquer
mercile 12/03/2013 à 9:03 -
JcpanMembre confirméC'est à travers le piratage du navigateur, qu’ild arrivent à exécuter des commande système et s’approprier l'ordinateur client.
ça se résume à :
Ouverture d'une page, suite à ceci piratage et commande à distance de ton ordinateur.le 12/03/2013 à 9:53 -
JcpanMembre confirméAucune question n'est bête à partir du moment où quelqu'un la pose.
Oui exactement généralement c'est des failles sur des applet ou des fichiers PDF.le 12/03/2013 à 14:14 -
gangsoleilModérateurLe plus facile est de trouver, dans le navigateur, un mecanisme qui execute du code. Theoriquement, cela se fait dans un environnement protege, mais parfois, en faisant par exemple de l'injection de code, on peut sortir de l'environnement protege.
On peut donc imaginer executer le code que l'on veut en dehors de cet environnement. Si ce code ouvre une connexion bi-directionnelle vers l'exterieure, tu as gagne l'acces a la machine.le 12/03/2013 à 14:38