Une équipe française a réussi à toucher une petite somme suite à l'exploitation d'une faille de sécurité dans WebKit, le moteur utilisé par Safari. Vancouver accueille actuellement la conférence CanSecWest et son concours Pwn2Own, où des logiciels et systèmes sont mis à l'épreuve afin de mettre en évidence leurs failles de sécurité (lire CanSecWest : Mac et PC vont souffrir).
L'équipe française de Vupen Security a su exploiter une faille inconnue dans WebKit. En conduisant l'utilisateur sur un site spécifique elle a réussi à déclencher en retour et, sans autre intervention de la personne, à lancer l'utilitaire Calculette et à écrire un fichier sur le disque dur de la machine. Le tout sans faire planter Safari. Cette suite d'opérations était un pré-requis pour les organisateurs de ce concours.
Interrogé par ZDNet, Chaouki Bekrar, le co-fondateur de cette société a expliqué qu'il était en fait plus compliqué de mettre au point les outils pour réaliser ce type de manoeuvre que de trouver des failles dans WebKit. Entre dénicher la faille et se doter des moyens de l'utiliser, cela leur a pris environ 15 jours.
Car la documentation manque autour de Mac OS X dès lors qu'on cherche des infos pour essayer d'exploiter les failles potentielles de cet environnement. Alors que les vulnérabilités dans WebKit sont en définitive assez nombreuses et aisées à trouver avec des outils de fuzzing.
Forte de son exploit, Vupen Security a empoché 15 000$ (10 000€) et un MacBook Air 13".
Internet Explorer 8 sur Windows 7 a aussi eu son heure de gloire via l'exploitation consécutive de trois failles de sécurité, avec les mêmes opérations que sur Safari. Stephen Fewer, l'auteur de cet exploit, a réussi à traverser le mode protégé d'Internet Explorer. Presque un mois et demi lui a été nécessaire pour trouver la méthode. Il est également reparti avec 15 000$ et un portable PC.
D'autres challenges sont prévus, avec en particulier les systèmes et navigateurs sur plateformes mobiles.
L'équipe française de Vupen Security a su exploiter une faille inconnue dans WebKit. En conduisant l'utilisateur sur un site spécifique elle a réussi à déclencher en retour et, sans autre intervention de la personne, à lancer l'utilitaire Calculette et à écrire un fichier sur le disque dur de la machine. Le tout sans faire planter Safari. Cette suite d'opérations était un pré-requis pour les organisateurs de ce concours.
Interrogé par ZDNet, Chaouki Bekrar, le co-fondateur de cette société a expliqué qu'il était en fait plus compliqué de mettre au point les outils pour réaliser ce type de manoeuvre que de trouver des failles dans WebKit. Entre dénicher la faille et se doter des moyens de l'utiliser, cela leur a pris environ 15 jours.
Car la documentation manque autour de Mac OS X dès lors qu'on cherche des infos pour essayer d'exploiter les failles potentielles de cet environnement. Alors que les vulnérabilités dans WebKit sont en définitive assez nombreuses et aisées à trouver avec des outils de fuzzing.
Forte de son exploit, Vupen Security a empoché 15 000$ (10 000€) et un MacBook Air 13".
Internet Explorer 8 sur Windows 7 a aussi eu son heure de gloire via l'exploitation consécutive de trois failles de sécurité, avec les mêmes opérations que sur Safari. Stephen Fewer, l'auteur de cet exploit, a réussi à traverser le mode protégé d'Internet Explorer. Presque un mois et demi lui a été nécessaire pour trouver la méthode. Il est également reparti avec 15 000$ et un portable PC.
D'autres challenges sont prévus, avec en particulier les systèmes et navigateurs sur plateformes mobiles.
