Safari et les autres sont tombés lors du concours Pwn2Own
Safari est lui aussi tombé au deuxième et dernier jour du concours Pwn2Own qui se tenait à Vancouver. Des failles de sécurité ont permis à Keen, une équipe chinoise, de forcer l'exécution d'un code par le navigateur. Une trouvaille qui leur assure un chèque de 65 000$ (46 000€), auxquels s'ajoutent 75 000$ pour un exploit sur Flash. Les participants ont 30 minutes maximum pour faire la preuve de leurs trouvailles, ils repartent également avec l'ordinateur qui a servi de support à leur démonstration.
L'équipe s'est appuyée sur deux vulnérabilités pour franchir les dispositifs de sécurité de Mavericks et de WebKit. Le remède à cette vulnérabilité dans WebKit ne devrait pas être compliqué à réaliser, a expliqué Liang Chen. Ce sera peut-être plus compliqué pour la faille système, ajoute le hacker, car elle réside dans la méthode de conception du logiciel. Des ingénieurs d'Apple assistaient par ailleurs à ce traditionnel événement, sponsorisé par HP.
« S'agissant d'Apple, l'OS est considéré comme très sûr et basé sur une architecture très bien sécurisée » a expliqué Liang Chen « Même si vous disposez d'une vulnérabilité, il est très difficile de l'exploiter. Aujourd'hui nous avons pu démontrer que le système peut quand même être pris en défaut. Mais en général, la sécurité dans OS X est plus élevée que sur d'autres systèmes d'exploitation ».
Chrome, Firefox, Internet Explorer et Adobe Reader ont eux aussi été défaits lors de ce concours. En marge de ces efforts, Google a fait la démonstration d'un exploit qui a fait lancer par Safari l'utilitaire Calculette avec les droits root. À noter au passage que Firefox fut mis à terre par George Hotz, le célèbre jailbreaker d'iOS, qui a empoché 50 000$.
Toutefois, à en croire le français Chaouki Bekrar de Vupen Security (un habitué de ces concours et des récompenses associées), les navigateurs sont devenus particulièrement robustes, en particulier Chrome et ceux fonctionnant sur Windows 8.1. Vupen a encaissé pas moins de 400 000$ en deux jours (287 000€).
Par le versement de récompenses pour ces découvertes, l'organisateur s'assure qu'elles ne seront pas dévoilées dans l'immédiat, mais mises à disposition des éditeurs concernés. Ces derniers disposeront d'un certain délai pour boucher ces failles. Une partie de cet argent est reversé par leurs bénéficiaires à des organisations caritatives. La somme totale payée cette fois aux équipes en présence a atteint un million de dollars, un record pour Pwn2Own.
Allez Apple au boulot, il faut corriger toutes ces failles.
Ça faisait longtemps qu'on avait pas entendu parler de GeoHot.
@nova313 :
Effectivement ! Je me demande ce qu'il est devenu. Il a pas travaillé pour Apple un temps ?
Même pas un petit "goto" en amuse gueule.
Internet Explorer a été craqué ? Comment est-ce possible ???
Apple faille systeme directement due au code et une autre dans safari . Elle est belle la sécu poudre aux yeux de l'os apple .
personne n'a jamais cru a un safari plus sur.
la verité, c'est qu'il y a moins de mac que de pc, donc moins de risque.
@i-han :
Toi t'as pas du bien lire la news...
@Yyyes
le gars il te dis que Mac Os X est hyper balaise en sécu mais que lui et son équipe ont trouvé 2 failes dont une de conception (l aplus grave) .... il n'a même pas un mobile ça ... toussa toussa.
Mise a part faire éventuellement un peu plus de mousse non?
Tu noteras le éventuellement.
Woua les prix pour avoir trouvé une faille ! C'est rentable de pirater un os ou un navigateur.
Ce qui fait mal c'est le fait que l'application lancée le fut avec des permissions. :/