Ouvrir le menu principal

MacGeneration

Recherche

Pwn2Own 2019 : deux grosses failles de sécurité dans Safari

Mickaël Bazoge

jeudi 21 mars 2019 à 21:30 • 7

macOS

Le concours Pwn2Own 2019 a débuté à Vancouver (Canada), et dès le premier jour deux failles ont été dévoilées touchant Safari. La première, réalisée par l’équipe Fluorocetate, permet d’échapper au « bac à sable » du navigateur au moyen de la force brute. Amat Cama et Richard Zhu, les deux petits génies de l’équipe, ont remporté une récompense de 55 000 $ pour la démonstration de cette vulnérabilité.

Phoenhex et les bidouilleurs de l’équipe qwerty.

L’autre faiblesse de Safari mise en lumière durant la compétition est le fruit du travail de phoenhex et de l’équipe qwerty. Cette fois, il s’agit d’une élévation de privilèges depuis Safari, ouvrant aux hackers une porte vers le système… et donc, d’en prendre le contrôle. Apple connaissant déjà un des bugs permettant d’exploiter cette faille, les découvreurs devront se contenter de partager 45 000 $ (un joli cadeau de consolation).

Les autres failles concernent la VirtualBox d’Oracle (par deux fois), et Workstation de VMware. En tout et pour tout, Trend Micro l’organisateur du concours a versé des récompenses d’un montant total de 240 000 $ pour ce premier jour. Tesla, Microsoft et VMware sont les partenaires de cette compétition annuelle sur trois jours. D’autres logiciels seront dans la ligne de mire des forts en thème : Firefox, Edge, et l’auto-pilote de Tesla.

Les participants ont un temps limité à 30 minutes et trois tentatives pour réaliser la démonstration de leurs failles. Trend Micro achète les failles, qui sont ensuite communiquées aux éditeurs. Apple ne manquera pas de boucher les vulnérabilités qui touchent Safari.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Apple envisage de remplacer le moteur de Siri par celui de ChatGPT ou Claude AI

30/06/2025 à 23:00

• 27


Comment faire face à la déferlante des fausses alertes bancaires et colis frauduleux 📍

30/06/2025 à 20:44

• 0


Pixelmator Pro s’enrichit de certaines fonctions Apple Intelligence

30/06/2025 à 20:09

• 6


L'option Lieux visités d'iOS 26 serait absente en Europe

30/06/2025 à 19:49

• 125


MacBook : jusqu’où Apple ira-t-elle pour casser les prix ?

30/06/2025 à 19:40

• 11


Un MacBook avec une puce A18 Pro repéré dans du code d’Apple

30/06/2025 à 17:36

• 31


Proton Pass ne se limite plus aux mots de passe

30/06/2025 à 15:04

• 17


Le MacBook Air M2 de retour à 749 € et 30 € de cash back !

30/06/2025 à 13:27

• 11


« F1 » : un démarrage en trombe au box-office et déjà un goût de victoire pour Apple

30/06/2025 à 13:15

• 34


Evoluent jette l'éponge pour les pilotes Mac de ses souris ergonomiques

30/06/2025 à 11:43

• 24


Extensions Safari : Apple lève une barrière majeure pour les développeurs

30/06/2025 à 11:13

• 6


Vision Pro, Vision Air et lunettes connectées : Ming-Chi Kuo dévoile le programme d’Apple jusqu’en 2029

30/06/2025 à 08:48

• 11


Apple lancerait en 2026 un MacBook avec un processeur d'iPhone

30/06/2025 à 08:12

• 111


Et si Apple sortait un anneau connecté, pour relancer ses wearables ? La semaine Apple

29/06/2025 à 21:00

• 24


Comment les aspirateurs robots Matter prennent leurs quartiers dans la Maison d’Apple

29/06/2025 à 18:38

• 11


Le grand tapis de souris Logitech en promotion à 6,99 € au lieu de 22 €

29/06/2025 à 08:22

• 17