Concours : Safari, IE et Firefox tous hackés
5 000 $ et un MacBook, c'est la récompense obtenue après un hack de Safari à l'occasion du CanSecWest 2009 de Vancouver. Il s'agissait selon les termes du concours d'exécuter un code après que l'utilisateur du navigateur ait cliqué sur un lien qu'on lui présentait.
En 10 secondes sur un MacBook à jour et équipé de Safari, Charlie Miller a pu prendre le contrôle de la machine en tirant parti d'une vulnérabilité du navigateur. Il avait pu en tester la faisabilité avant le concours. Les détails de la manipulation sont tenus secrets afin de laisser le temps à Apple de la pallier.
Le même Miller avait réalisé une opération similaire sur un MacBook Air il y a un an, mais en deux minutes. À l'époque il avait exploité une faille dans une bibliothèque open source utilisée par le moteur JavaScript de Safari (voir l'article Retour sur la faille qui a fait trébucher le Mac).
Le navigateur d'Apple n'était pas seul sur le grill. Même résultat, à nouveau pour Safari mais aussi pour Firefox et Internet Explorer 8 qui ont cédé face à un participant surnommé "Nils". À chaque fois il a pu exploiter des failles de sécurité - non détaillées - dans ces trois navigateurs. Firefox et IE 8 tournaient sur Windows Seven. Là aussi la récompense s'est traduite par le cadeau du portable utilisé, un Vaio et cette même somme d'argent.
Des représentants d'Apple et de Microsoft ont pu assister aux manipulations et obtenir les détails de leur fonctionnement.
Chrome fait également parti des cibles offertes aux hackers, de même que les plateformes mobiles : BlackBerry, Android, iPhone, Symbian et Windows Mobile. Le concours continue jusqu'à vendredi.
En 10 secondes sur un MacBook à jour et équipé de Safari, Charlie Miller a pu prendre le contrôle de la machine en tirant parti d'une vulnérabilité du navigateur. Il avait pu en tester la faisabilité avant le concours. Les détails de la manipulation sont tenus secrets afin de laisser le temps à Apple de la pallier.
Le même Miller avait réalisé une opération similaire sur un MacBook Air il y a un an, mais en deux minutes. À l'époque il avait exploité une faille dans une bibliothèque open source utilisée par le moteur JavaScript de Safari (voir l'article Retour sur la faille qui a fait trébucher le Mac).
Le navigateur d'Apple n'était pas seul sur le grill. Même résultat, à nouveau pour Safari mais aussi pour Firefox et Internet Explorer 8 qui ont cédé face à un participant surnommé "Nils". À chaque fois il a pu exploiter des failles de sécurité - non détaillées - dans ces trois navigateurs. Firefox et IE 8 tournaient sur Windows Seven. Là aussi la récompense s'est traduite par le cadeau du portable utilisé, un Vaio et cette même somme d'argent.
Des représentants d'Apple et de Microsoft ont pu assister aux manipulations et obtenir les détails de leur fonctionnement.
Chrome fait également parti des cibles offertes aux hackers, de même que les plateformes mobiles : BlackBerry, Android, iPhone, Symbian et Windows Mobile. Le concours continue jusqu'à vendredi.
Brewenn |
Lledrith |
naas |
Almux |
Mops Argo |
Gl0ubI |
Michel Poulain |
pierrot99 |
james85 |
Anonyme (non vérifié) |
Bruno de Malaisie |
Esko |
