Actualités

Pwn2Own 2015 : quand les failles des navigateurs Web permettent à un participant de récolter 225 000 dollars à lui seul (l’IP man du Web) !

Si certains (Maître) Chinois sont redoutables, les Coréens le sont également, et ce n’est pas un certain JungHoon Lee qui dira le contraire puisque ce dernier a amassé la coquette somme de 225 000 dollars lors du 19 Mars dernier, à l’occasion de la fameuse conférence CanSecWest !

 

Pwn2Own_logo

En effet, c’est à Vancouver pour le concours Pwn2Own (CanSecWest, de son nom solennel, qui s’est tenu le 18 et 19 Mars), que le jeune hacker JungHoon Lee a réussi à mettre en lumière des failles au sein des navigateurs Web tels que Chrome, Safari ou encore Internet Explorer :

 

pwn2own2015_JungHoon Lee

JungHoon Lee
  • 110 000 dollars lui ont été attribué pour avoir exploité une vulnérabilité dans les versions stables et bêta de Google Chrome, via une élévation de la mémoire tampon de ce dernier, le tout en utilisant un point faible au niveau du noyau Windows pour accéder au sein même du système. Dans le détail, il a ainsi obtenu 75 000 dollars pour la faille sous Chrome, un bonus de 25 000 dollars pour l’élévation de privilège système au sein via le noyau Windows et 10 000 dollars pour une faille sous une version bêta de Chrome : “lokihardt – JungHoon Lee – a gagné environ 916 dollars par seconde pour ses deux minutes de démonstration […] “Wow” est un euphémisme.”, est-il ainsi mentionné sur le billet du blog de sécurité d’HP ;
  • 65 000 dollars lui ont, aussi, été attribué pour une élévation de privilège au sein d’IE 11 permettant une lecture / écriture du code du navigateur (TOCTTOU), le tout via une injection de code au sein de JavaScript en utilisant la Sandbox de la technologie dédiée… Gloups !
  • Enfin, concernant les 50 000 derniers dollars engrangés par le jeune Coréen, ils proviennent d’une faille sous Safari, le navigateur phare d’Apple, en exécutant du code toujours dans cette fameuse SandBox, via un élément non initialisé par le navigateur, permettant la mise en œuvre d’une faille de type UAF (Use after free).

 

Pwn2Own_Firefox down

Firefox, aussi, s’est vu pointé du doigt avec, non pas une mais deux vulnérabilités : en effet, concernant le premier exploit, on le doit au dénommé ilxu1a dont la faille permettait, via la compilation à la volée de JavaScript (JIT), une exécution du code arbitraire, avec possibilité de lecture / écriture de la mémoire. Le hacker a ainsi pu récolter 15 000 dollars pour la découverte de cette faille. Concernant le second exploit, Mariusz Mlynski a mis en lumière une faille située au niveau du format SVG, permettant ainsi une élévation des privilèges et, donc, une exécution du code arbitraire. 55 000 dollars ont été versé à Mariusz Mlynski qui aura mis 0.512 seconde pour démontrer son exploit ! La première faille – démontrée par ilxua1a – à été colmatée le 20 Mars sous la mouture 36.0.3 ; Idem pour la seconde faille qui a subit une rustine la même date, faisant ainsi passer Firefox en version 36.0.4.

 

Pwn2Own_Nicolas Joly

Nicolas Joly

Toutefois, sur ces deux jours, on retiendra, également, la belle performance d’un hacker Français, Nicolas Joly :

  • D’une part, il a reçu 30 000 dollars pour une faille mise en œuvre sous Flash, via une vulnérabilité présente dans la Sandbox de la technologie incriminée ;
  • D’autre part, il a perçu 60 000 dollars, concernant une faille sous Adobe Reader, en élevant la mémoire tampon du logiciel et permettre l’exécution de code à distance ;

 

Piratage_sécurité

Le concours Pwn2Own a, ainsi, comme chaque année, un but sécuritaire, en mettant à jour des vulnérabilités de logiciels / technologies les plus usitées ou populaires sur le Web, pour ne pas citer Adobe ou Windows qui subissent leur lot quotidien de failles de ce type avec, pour cette édition 2015, 9 failles pour Microsoft (5 concernant Windows et 4 concernant le futur ex-navigateur de Redmond au profit de Spartan (nom non officiel) – ? – Internet Explorer 11), 6 pour Adobe (réparties égalitairement avec, 3 failles pour Reader et 3 concernant le plug-in Flash). Mozilla comptera 3 failles pour Firefox, Apple 2 pour Safari et, enfin, 1 unique faille pour Google et son navigateur, Google Chrome. Le montant des dotations 2015 du concours s’est élevé à 557 500 dollars ; De quoi en encourager plus d’un pour sauver la veuve et l’orphelin sur le Web. Encore faut-il maîtriser cet exercice de style moderne qu’est la démonstration d’une vulnérabilité… A méditer !

 

Source : Nextinpact.com




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020 - v1.3.1