Pwnium 2 : une faille découverte dans Chrome aussitôt comblée

Stéphane Moussie |
Le concours Pwnium 2 organisé par Google, qui s'est tenu lors de la conférence Hack In The Box en Malaisie, a été le théâtre de la découverte d'une faille dans Chrome. C'est le hacker Pinkie Pie qui a déniché un problème de sécurité, le seul trouvé lors du concours, et remporté les 60 000 $ en jeu ainsi qu'un Chromebook.

Chrome a d'ores et déjà été mis à jour (version 22.0.1229.94) pour combler cette faille qui exploitait la prise en charge du SVG dans WebKit et un bug lié à la couche IPC.

Sur le même sujet :
- CanSecWest : Chrome s'effondre deux fois

avatar lmouillart | 

Comme on est vendredi je me lance, c'est vicieux de la part de Google de punir le hacker qui à trouvé la faille en le condamnant à utiliser un ChromeBook.

Sinon excellente réactivité de Google concernant la sécurité, comme d'habitude ...

avatar hirtrey | 

Webkit, donc une faille Apple en réalité et qui touche safari

avatar lmouillart | 

@hirtrey Safari, Chrome sont très différent dans leur manière de fonctionner, ils ne partagent qu'un petit sous ensemble de code et ce même pour la partie webkit.

Le mécanismes de sandboxing de Chrome et Safari ne sont pas identique, il est fort probable que la faille sur le rendu des SVG, ne permettent pas de sortir de la sandbox via les IPC.

avatar Bigdidou | 

@lmouillart
"via les IPC."

In-cor-ri-gi-ble.
:D

avatar DarKOrange | 

Ou comment utiliser une main d'œuvre ultra qualifiée à pas cher...

avatar fornorst | 

Pas cher ? 60.000$ la faille quand même. C'est sûrement rentable pour Google, je te l'accorde. Mais c'est rentable pour le hacker lui aussi ! Faut pas voir le mal de partout ;)

avatar Almux | 

...Ben!... Elle devait pas être "toute petite", cette faille, pour qu'il y ait autant d'empressement à la combler!...

avatar joneskind | 

@lmouillart :
J'ai ri, merci !

avatar joneskind | 

@hirtrey :

Développe un peu ton raisonnement qu'on rigole

avatar joneskind | 

@darkorange :
+ 1

avatar joneskind | 

@fornorst :
Si tu savais à combien se vendent ces failles. Il faut généralement une bonne équipe et des mois de travail pour découvrir des failles et ça coûté cher. Selon l'OS concerné, une faille peut facilement rapporter 4 fois plus.

avatar fornorst | 

Google fait un concours en fixant à l'avance la dotation. Des hackers s'enregistrent à ce concours en connaissant les règles et la dotation.
De plus, ce concours a visiblement récompensé une personne et pas un groupe. 60K$ n'est pas une si vilaine somme quand même.
De plus, le commentaire de darkorange fait passer (je trouve) Google pour une sorte d'esclavagiste des temps modernes qui exploitent des individus pour remplir des tâches harassantes. Je trouve juste qu'on est loin de ça et redit qu'il ne faut pas voir le mal partout. Si ce concours était trop chichement doté, personne ne s'y inscrirait et Google ne serait pas plus avancé dans sa recherche de faille

CONNEXION UTILISATEUR