Pwn2Own : plusieurs failles dans Safari et OS X découvertes
Les chercheurs en sécurité, casseurs de codes et autres hackers sont réunis à Vancouver pour la seizième édition de la CanSecWest, un raout annuel qui abrite un concours très couru : Pwn2Own. Il s'agit de faire « tomber » les protections de navigateurs web (Firefox a été cette année exclu de la compétition) et les systèmes d'exploitation. Ceux qui débusquent les failles les plus importantes repartent avec des lots sonnants et trébuchants.
JungHoon Lee (alias lokihardt), qui s'était déjà signalé l'an dernier avec un record de gain (110 000 $), a débusqué quatre nouvelles failles dans OS X et Safari qui lui ont rapporté 60 000 $. L'équipe Tencent Security Team Shield remporte de son côté 40 000 $ pour avoir trouvé trois vulnérabilités, là aussi dans Safari.
Une des innombrables failles de Flash a permis à l'équipe 360Vulcan de repartir avec 80 000 $ ; cette même équipe a identifié quatre vulnérabilités dans Chrome, dont deux via Flash (52 500 $ supplémentaires). Enfin, un autre trou de sécurité dans Flash (c'est presque trop facile) permet à la Tencent Security Team d'engranger 50 000 $ en plus.
Les failles et vulnérabilités découvertes ont été transmises aux éditeurs, afin qu'ils puissent les corriger. Apple a ses petites habitudes à la CanSecWest et nul doute que des représentants du constructeur assistaient aux démonstrations. Et il ne s'agissait là que des résultats du premier jour de la manifestation.
"C'est presque trop facile"
Si c'était si facile que ça pourquoi l'auteur qui est si malin n'a pas participé pour empocher les 50 000 $ ?
Ca devient franchement lourdingue le bashing anti flash.
On m'a toujours dit que c'était très moche de tirer sur les ambulance.
C'était trop facile et trop tentant pour des hacker et chercheurs en sécurité.
C'est que le Flash c'est le plus beau filon de failles critiques multiplateformes depuis des années, et quand on tombe sur un filon pareil, ce serait con d'aller creuser ailleurs!
Puis il faut en profiter, parce que Flash il a un pied bien dans la tombe et le deuxième juste au bord du gouffre - Adobe prépare l'inhumation pour bientôt, dont le calendrier tient a la migration de ses outils de production...
Apres, ça va faire du vide et les chasseurs de failles critiques vont avoir plus de mal a trouver de quoi se financer pour l'année.
La il vient d'etre distribué pres de 400 000 dollars pour des faille de Flash!
Bref ça fait un moment maintenant que l'on sait a quoi s'en tenir avec Flash, il est d'ailleurs étonnant de voir qu'il y a encore des concepteurs de sites Web qui utilisent cette pourriture et des clients qui se font avoir.
« Apple a ses petites habitudes à la CanSecWest et nul doute que des représentants du constructeur assistaient aux démonstrations»
Ben deja ceux du bureau local d'Apple...
@macinoe
"On m'a toujours dit que c'était très moche de tirer sur les ambulances."
Surtout que l'ambulance en question, ce serait plutôt un corbillard, et que tirer sur le (quasi) mort qui s'y trouve, ce n'est pas franchement ce que l'on fait de plus efficace/intelligent.
"On m'a toujours dit que c'était très moche de tirer sur les ambulance"
Surtout quand elle a les 4 pneus crevés...
Il devrait y avoir davantage de concours de ce genre pour trouver des failles pour le plus grand bien de tous.
@macinoe: on parle de flash là, le bousin qui bouche ~30 failles par mise à jour dont au moins la moitié de critiques et toujours quelques unes 0-day. On aurait dû tuer Flash il y a de nombreuses années.
pas de commentaires sur les failles de Safari ...et OSX ?
a quoi bon être désagréable ...
@alan1bangkok
Pas de commentaires nécessaires.
7 pour osx et safari
4 pour flash
2 pour chrome
Mais ça bash flash !
@Maître Folace :
On est d'accord que la somme de code de Safari OS X est un poil plus lourde que celle de Flash ?
@Florian Innocente
Vous êtes sérieux avec votre comparaison ?
Le but de cette 'compétition' est de pénétrer un système via le navigateur. Non ?
Quelles sont les contraintes pour les pirates?
Aucune faille Windows ?
@JLG01
...le faille c'est Windows !
En enterrant Flash, Adobe va abandonner sa Backdoor universelle 8-(
Je rigoooole !
Quoique… ils l'ont peut-être juste déplacée ailleurs ? 8-o
Brrrr, ces histoires de FBI me rendent un poil parano… ;-p