Ouvrir le menu principal

MacGeneration

Recherche

Pwn2Own 2019 : deux grosses failles de sécurité dans Safari

Mickaël Bazoge

jeudi 21 mars 2019 à 21:30 • 7

macOS

Le concours Pwn2Own 2019 a débuté à Vancouver (Canada), et dès le premier jour deux failles ont été dévoilées touchant Safari. La première, réalisée par l’équipe Fluorocetate, permet d’échapper au « bac à sable » du navigateur au moyen de la force brute. Amat Cama et Richard Zhu, les deux petits génies de l’équipe, ont remporté une récompense de 55 000 $ pour la démonstration de cette vulnérabilité.

Phoenhex et les bidouilleurs de l’équipe qwerty.

L’autre faiblesse de Safari mise en lumière durant la compétition est le fruit du travail de phoenhex et de l’équipe qwerty. Cette fois, il s’agit d’une élévation de privilèges depuis Safari, ouvrant aux hackers une porte vers le système… et donc, d’en prendre le contrôle. Apple connaissant déjà un des bugs permettant d’exploiter cette faille, les découvreurs devront se contenter de partager 45 000 $ (un joli cadeau de consolation).

Les autres failles concernent la VirtualBox d’Oracle (par deux fois), et Workstation de VMware. En tout et pour tout, Trend Micro l’organisateur du concours a versé des récompenses d’un montant total de 240 000 $ pour ce premier jour. Tesla, Microsoft et VMware sont les partenaires de cette compétition annuelle sur trois jours. D’autres logiciels seront dans la ligne de mire des forts en thème : Firefox, Edge, et l’auto-pilote de Tesla.

Les participants ont un temps limité à 30 minutes et trois tentatives pour réaliser la démonstration de leurs failles. Trend Micro achète les failles, qui sont ensuite communiquées aux éditeurs. Apple ne manquera pas de boucher les vulnérabilités qui touchent Safari.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Test du Twelve South AirFly Pro 2 : pour s’enfiler en l’air

05/07/2025 à 11:00

• 7


Sortie de veille : un MacBook avec une puce d’iPhone, attrape-nigaud ou coup de génie ?

05/07/2025 à 08:00

• 24


Un dirigeant de Microsoft conseille aux plus de 9 000 employés licenciés de se faire aider par l’IA

04/07/2025 à 22:00

• 181


Apple fait ses emplettes dans les start-up, entre avatars virtuels et monitoring de l’IA

04/07/2025 à 21:00

• 1


Un premier pas vers le jailbreak de la Touch Bar : le système démarre en mode verbose

04/07/2025 à 17:45

• 22


MacBook Air M2 à 750 € ou Mac Studio M2 Max à 1 300 € ? Entre portable et fixe, il faut choisir

04/07/2025 à 15:22

• 27


Un (faux) traceur GPS sur les cartons des MacBook Air, pour dissuader les livreurs de les voler

04/07/2025 à 13:02

• 82


Un site web pour décoder les pages sauvées en .webarchive par Safari

04/07/2025 à 11:00

• 5


Ulanzi présente une station d'accueil au look de petit Mac Pro

04/07/2025 à 10:15

• 17


Promo : une batterie chameau de 27650 mAh capable de recharger Mac et iPhone à 114 € (-56 €)

04/07/2025 à 09:18

• 13


Développeurs : Technotes ajoute des notes de la communauté sur la documentation d’Apple

04/07/2025 à 08:33

• 5


L’iPhone redécolle en Chine, le Mac cartonne aux États-Unis : Apple souffle un peu avant les trimestriels le 31

04/07/2025 à 07:52

• 41


Apple a creusé l’idée de proposer des services de cloud computing aux développeurs pour concurrencer AWS

03/07/2025 à 21:45

• 47


Apple sort des fonds d’écran aux couleurs de son nouvel Apple Store à Osaka

03/07/2025 à 21:00

• 10


Test du ViewSonic ColorPro VP2788-5K : 27″, 5K et DCI-P3 pour le prix d’un demi-Studio Display

03/07/2025 à 20:30

• 10


Guerre commerciale : les produits fabriqués au Vietnam voient leur taxe multipliée par cinq

03/07/2025 à 20:20

• 31