Pwn2Own : Internet Explorer tombe à son tour
Après Chrome, c'est au tour d'Internet Explorer 9 d'être hacké lors du concours Pwn2Own organisé à l'occasion de la conférence CanSecWest. C'est encore l'équipe de Vupen Security qui s'est distinguée. Le leader français des solutions de gestion des vulnérabilités informatiques était déjà l'auteur des deux attaques qui lui ont permis de faire trébucher le navigateur de Google (lire : CanSecWest : Chrome s'effondre deux fois).
Comme pour Chrome, Vupen Security est parvenu à exploiter une faille dans le bac à sable d'Internet Explorer. Chaouki Bekrar, PDG de Vupen, précise que la tâche fut plus aisée que pour Chrome. Ce dernier est bien plus évolué que celui d'Internet Explorer. Toutefois, avec IE10, Microsoft devrait être sur ce plan quasiment au même niveau que Chrome.
Concrètement, il suffit que le PC charge une "simple" page web pour que les hackers puissent prendre le contrôle de la machine.
Safari et Firefox n'ont toujours pas cédé aux assauts des "hackers". D'habitude, le navigateur d'Apple était souvent le premier à tomber. A l'image de tous les navigateurs, Safari a beaucoup progressé en matière de sécurité. Toutefois, son invincibilité est également due au fait que certains chercheurs, comme Charlie Miller, n'ont pas participé à cette édition, car ils sont en désaccord avec les nouvelles règles du concours (lire : Pwn2Own 2012 : va y avoir du sport). Pwn2Own 2012 s'achève ce soir.
Comme pour Chrome, Vupen Security est parvenu à exploiter une faille dans le bac à sable d'Internet Explorer. Chaouki Bekrar, PDG de Vupen, précise que la tâche fut plus aisée que pour Chrome. Ce dernier est bien plus évolué que celui d'Internet Explorer. Toutefois, avec IE10, Microsoft devrait être sur ce plan quasiment au même niveau que Chrome.
L'équipe de Vupen Security / Image : Dan Godin (Ars Technica)
Concrètement, il suffit que le PC charge une "simple" page web pour que les hackers puissent prendre le contrôle de la machine.
Safari et Firefox n'ont toujours pas cédé aux assauts des "hackers". D'habitude, le navigateur d'Apple était souvent le premier à tomber. A l'image de tous les navigateurs, Safari a beaucoup progressé en matière de sécurité. Toutefois, son invincibilité est également due au fait que certains chercheurs, comme Charlie Miller, n'ont pas participé à cette édition, car ils sont en désaccord avec les nouvelles règles du concours (lire : Pwn2Own 2012 : va y avoir du sport). Pwn2Own 2012 s'achève ce soir.
Vas-y Safari ! Courage mon gars !
Encore une preuve de la nullité des Microsoft...
@noooty
Ou des "hackers"… ^,^
" Concrètement, il suffit que le PC charge une "simple" page web pour que les hackers puissent prendre le contrôle de la machine. "
Franchement çà fait peur !!!
Le MAC n'est de toute façon pas epargné : je rappelle que Google piratait jusqu'ici les utilisateurs de Safari. Pathétique...
[quote=noooty]
Encore une preuve de la nullité des Microsoft...
[/quote]
Prix Nobel spotted.
Les 3 vont tomber de toutes façon...
Dire que le Chrome est tombé en premier ne signifi pas qu'il soit plus mauvais que les autres.
Eux même l'expliquent : Chrome à été visé en premier par défi, ensuite la même équipe s'attaque à IE9 (bon c'est de la merde mais pas autant qu'a une certaine époque) et le font tomber en disant clairement que c'était plus facile que Chrome...
Reste Safari, et firefox, demain peut être par la même équipe (c'est dailleur Vupen qui avait hacké Safari l'année dernière en 5 secondes), nous verrons bien, mais en fait je trouve que ce n'est pas représentatif car c'est finalement le hackeur qui choisit lequel il fait tomber en premier...
Pour gagner ça devrait être la première équipe à faire tomber l'ensemble des navigateurs
[quote=philiipe]
Le MAC n'est de toute façon pas epargné : je rappelle que Google piratait jusqu'ici les utilisateurs de Safari. Pathétique...[/quote]
Faux, la seule chose qu'il pouvait faire était de créer un cookie et rien d'autres.
Tandis que ces hacks, permettent de prendre le contrôle da la machine après avoir fait tomber le navigateur.
De toutes façons, ils s'attaqueront pas à Firefox. Ce doit être plus prestigieux pour eux de faire tomber les navigateurs de 3 des plus grosses sociétés informatiques mondiales.
Puis Firefox c'est libre, c'est hype, c'est communautaire. Pour que ce doit des pro logiciels libres qui passent leurs journées sur Linux, ils épargneront Firefox.
En fait j'ai trouvé plus de détails concernant cette compétition :
http://pwn2own.zerodayinitiative.com/status.html
Chrome et Internet Explorer sont tombés tous les deux en utilisant des failles 0Days (c'est à dire inconnues jusqu'à présent)
Cependant Internet Explorer, Firefox et Safari sont également tombés en utilisant des failles connues (et par conséquent toujours pas patchées visiblement) - 2 fois chacuns
Chrome est absent de cette liste (pour l'instant en tout cas) ce qui tend à montrer que la politique qu'ils appliquent actuellement est tout de même efficace (à savoir patcher à grande vitesse)
"Encore une preuve de la nullité des Microsoft..."
Tu sais, tout le monde tombe à ce genre de concours, donc ils sont tous nuls ?
L'essentiel est qu'Apple veille aux grains beaucoup plus étroitement qu'elle ne le faisait.
C'est franchement rassurant vu qu'aucun systėme n'est à l'abri.
@P'tit Suisse
"L'essentiel est qu'Apple veille aux grains beaucoup plus étroitement qu'elle ne le faisait.
C'est franchement rassurant vu qu'aucun systėme n'est à l'abri."
Ben en fait c'est juste le changement de règle qui donne cet effet...
Car comme expliqué : Safari est tombé 2 fois par l'utilisations de failles connues et non patchées...
Cependant dans le cadre du concours c'est les failles 0days qui rapportent le plus de points du coup c'est celles là dont ont parle le plus (lié aux nouvelles règles)
Encore une preuve de l'inutilité de certains commentaires...
Ce serait pas parce que les hackers s'intéressent moins à Safari ?
Sympa les sandbox ! lol
@Tomn
Encore le couplet du ils s'intéressent moins
Excuse moi mais je crois bien que tu fais de l'humour sans savoir. Apple est aujourd'hui à nouveau l'entreprise à abattre, donc je suis sûr qu'ils s'y intéressent beaucoup, mais qu'ils se les font un par un.
Je ne comprends pas, je croyais que tous les navigateurs étaient déjà tombés!
https://www.macg.co/news/voir/236982/cansecwest-chrome-s-effondre-deux-fois
lmouillart [08/03/2012 12:53]
@Francis Kuntz https://twitter.com/#!/VUPEN
Firefox/IE/Chrome/Safari OSX owned.
Donc si j'ai bien compris, Imouillart a pris un obscur Tweet pour argent comptant alors que Safari et Firefox résistent encore ? Je ne comprends pas, Chrome c'est pas le navigateur infaillible même que pour ça Google corrige 15 failles par mois ? (ce qui fait quand même 180 failles par an O_o)
J'attends des explications !
C'est vraiment pas cher payé ce concours quand on voit le nombre d'utilisateurs de ces navigateurs.
Les failles 0Days valent beaucoup plus, Apple, Microsoft et les autres s'en tirent à bon compte !!