Ouvrir le menu principal

MacGeneration

Recherche

Safari et les autres sont tombés lors du concours Pwn2Own

Florian Innocente

vendredi 14 mars 2014 à 16:50 • 11

Logiciels

Safari est lui aussi tombé au deuxième et dernier jour du concours Pwn2Own qui se tenait à Vancouver. Des failles de sécurité ont permis à Keen, une équipe chinoise, de forcer l'exécution d'un code par le navigateur. Une trouvaille qui leur assure un chèque de 65 000$ (46 000€), auxquels s'ajoutent 75 000$ pour un exploit sur Flash. Les participants ont 30 minutes maximum pour faire la preuve de leurs trouvailles, ils repartent également avec l'ordinateur qui a servi de support à leur démonstration.

Keen Team après leur démonstration - crédit pwn2own

L'équipe s'est appuyée sur deux vulnérabilités pour franchir les dispositifs de sécurité de Mavericks et de WebKit. Le remède à cette vulnérabilité dans WebKit ne devrait pas être compliqué à réaliser, a expliqué Liang Chen. Ce sera peut-être plus compliqué pour la faille système, ajoute le hacker, car elle réside dans la méthode de conception du logiciel. Des ingénieurs d'Apple assistaient par ailleurs à ce traditionnel événement, sponsorisé par HP.

« S'agissant d'Apple, l'OS est considéré comme très sûr et basé sur une architecture très bien sécurisée » a expliqué Liang Chen « Même si vous disposez d'une vulnérabilité, il est très difficile de l'exploiter. Aujourd'hui nous avons pu démontrer que le système peut quand même être pris en défaut. Mais en général, la sécurité dans OS X est plus élevée que sur d'autres systèmes d'exploitation ».

Chrome, Firefox, Internet Explorer et Adobe Reader ont eux aussi été défaits lors de ce concours. En marge de ces efforts, Google a fait la démonstration d'un exploit qui a fait lancer par Safari l'utilitaire Calculette avec les droits root. À noter au passage que Firefox fut mis à terre par George Hotz, le célèbre jailbreaker d'iOS, qui a empoché 50 000$.

Toutefois, à en croire le français Chaouki Bekrar de Vupen Security (un habitué de ces concours et des récompenses associées), les navigateurs sont devenus particulièrement robustes, en particulier Chrome et ceux fonctionnant sur Windows 8.1. Vupen a encaissé pas moins de 400 000$ en deux jours (287 000€).

Chaouki Bekrar entre ses homologues de l'équipe Keen

Par le versement de récompenses pour ces découvertes, l'organisateur s'assure qu'elles ne seront pas dévoilées dans l'immédiat, mais mises à disposition des éditeurs concernés. Ces derniers disposeront d'un certain délai pour boucher ces failles. Une partie de cet argent est reversé par leurs bénéficiaires à des organisations caritatives. La somme totale payée cette fois aux équipes en présence a atteint un million de dollars, un record pour Pwn2Own.

Source :

Soutenez MacGeneration sur Tipeee

MacGeneration a besoin de vous

Vous pouvez nous aider en vous abonnant ou en nous laissant un pourboire

Soutenez MacGeneration sur Tipeee

Le MacBook A18 Pro entrerait en production à la fin de l’année, pour un prix d’entrée de 599 dollars

21:30

• 15


macOS 26 ne veut pas s’installer sur les Mac Studio M3 Ultra

20:00

• 22


Apple ne devrait pas avoir la primeur sur la gravure en 1,6 nm de TSMC : Nvidia passerait avant

18:30

• 11


macOS Tahoe : plus besoin de KVM pour se connecter à un Mac après une panne de courant

17:15

• 5


Revue de tests de l’iPhone Air : le design séduit, les compromis interrogent

16:32

• 94


Revue des tests des iPhone 17 Pro : ils chauffent moins, mais ne réinventent pas la roue

16:20

• 42


Est-ce que mettre la TV en pause, c'est de la copie privée ? SFR pense que non, Copie France pense que si

16:20

• 54


macOS Tahoe : Apple simplifie la configuration de FileVault en augmentant sa sécurité

15:30

• 23


Le codec AV2 annoncé, alors qu'Apple peine à prendre en charge massivement l'AV1

13:45

• 23


tvOS 26 à l’essai : notre prise en main des nouveautés pour l’Apple TV

13:15

• 17


Kuo : Apple lancera un MacBook Pro à écran OLED tactile fin 2026

12:07

• 42


10 € de réduction sur l'ensemble des coques Apple pour les nouveaux iPhone

10:50

• 0


Promo : le MacBook Air M4 15" avec 24 Go de RAM et 512 Go de stockage à son prix le plus bas

10:39

• 4


macOS Tahoe peut se connecter automatiquement au partage de connexion d’un iPhone

09:35

• 21


4K, 5K, 6K : le guide des meilleurs écrans externes pour votre Mac

08:40

• 35


iOS 26 : RCS, nouveau Siri, météo par satellite… le programme des prochains mois

08:03

• 35