Ouvrir le menu principal

MacGeneration

Recherche

Safari et les autres sont tombés lors du concours Pwn2Own

Florian Innocente

vendredi 14 mars 2014 à 16:50 • 11

Logiciels

Safari est lui aussi tombé au deuxième et dernier jour du concours Pwn2Own qui se tenait à Vancouver. Des failles de sécurité ont permis à Keen, une équipe chinoise, de forcer l'exécution d'un code par le navigateur. Une trouvaille qui leur assure un chèque de 65 000$ (46 000€), auxquels s'ajoutent 75 000$ pour un exploit sur Flash. Les participants ont 30 minutes maximum pour faire la preuve de leurs trouvailles, ils repartent également avec l'ordinateur qui a servi de support à leur démonstration.

Keen Team après leur démonstration - crédit pwn2own

L'équipe s'est appuyée sur deux vulnérabilités pour franchir les dispositifs de sécurité de Mavericks et de WebKit. Le remède à cette vulnérabilité dans WebKit ne devrait pas être compliqué à réaliser, a expliqué Liang Chen. Ce sera peut-être plus compliqué pour la faille système, ajoute le hacker, car elle réside dans la méthode de conception du logiciel. Des ingénieurs d'Apple assistaient par ailleurs à ce traditionnel événement, sponsorisé par HP.

« S'agissant d'Apple, l'OS est considéré comme très sûr et basé sur une architecture très bien sécurisée » a expliqué Liang Chen « Même si vous disposez d'une vulnérabilité, il est très difficile de l'exploiter. Aujourd'hui nous avons pu démontrer que le système peut quand même être pris en défaut. Mais en général, la sécurité dans OS X est plus élevée que sur d'autres systèmes d'exploitation ».

Chrome, Firefox, Internet Explorer et Adobe Reader ont eux aussi été défaits lors de ce concours. En marge de ces efforts, Google a fait la démonstration d'un exploit qui a fait lancer par Safari l'utilitaire Calculette avec les droits root. À noter au passage que Firefox fut mis à terre par George Hotz, le célèbre jailbreaker d'iOS, qui a empoché 50 000$.

Toutefois, à en croire le français Chaouki Bekrar de Vupen Security (un habitué de ces concours et des récompenses associées), les navigateurs sont devenus particulièrement robustes, en particulier Chrome et ceux fonctionnant sur Windows 8.1. Vupen a encaissé pas moins de 400 000$ en deux jours (287 000€).

Chaouki Bekrar entre ses homologues de l'équipe Keen

Par le versement de récompenses pour ces découvertes, l'organisateur s'assure qu'elles ne seront pas dévoilées dans l'immédiat, mais mises à disposition des éditeurs concernés. Ces derniers disposeront d'un certain délai pour boucher ces failles. Une partie de cet argent est reversé par leurs bénéficiaires à des organisations caritatives. La somme totale payée cette fois aux équipes en présence a atteint un million de dollars, un record pour Pwn2Own.

Source :

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

DOJ VS Google : Chrome échappe à une vente forcée

02/09/2025 à 23:46

• 5


Fuite de cerveaux : le responsable de l’IA robotique d’Apple et trois chercheurs claquent la porte

02/09/2025 à 21:49

• 52


PC Windows ARM : un an après le renouveau, pourquoi ça coince encore

02/09/2025 à 20:30

• 11


Une 9e bêta surprise pour iOS 26, macOS Tahoe et consorts

02/09/2025 à 20:05

• 48


Un nouvel écran 5K chez Philips, avec du Thunderbolt 4, une webcam et un prix correct (1 160 €) 🆕

02/09/2025 à 19:14

• 32


MacBook Air M4 : la chute des prix se poursuit à la rentrée pour ce nouvel incontournable  🆕

02/09/2025 à 18:53

• 146


Bien sauvegarder son Mac en 2025 : quels disques durs, SSD ou NAS choisir ?

02/09/2025 à 17:53

• 48


Le retour en grâce du refroidissement liquide, à cause des IA

02/09/2025 à 16:28

• 15


Un SSD externe de bureau de 8 To en promotion à 543 € (268 € en 4 To)

02/09/2025 à 15:30

• 4


DxO PhotoLab 9 se met enfin aux masques IA et aux photos de l’iPhone

02/09/2025 à 15:00

• 14


Orange : la 5G+ compatible avec l’option Multi-SIM sur iPhone, c'est confirmé 🆕

02/09/2025 à 13:03

• 63


Une banque qui appartient à ses clients, ça n'empêche pas les pannes

02/09/2025 à 11:04

• 59


Un boîtier USB4 en promotion, pour un SSD externe capable d'atteindre 3,6 Go/s

02/09/2025 à 10:20

• 9


Développement : CocoaPods prépare son passage en lecture seule, prévu fin 2026

02/09/2025 à 08:38

• 4


150 manuels de développement sur Mac pour retourner dans les années 1980/90

02/09/2025 à 08:12

• 17


Tout savoir sur les rumeurs autour des AirPods Pro 3

02/09/2025 à 07:53

• 24