Pour gérer vos consentements :

Pwn2own : des dégâts sur les navigateurs Web

Internet Explorer, Chrome, Firefox, Safari… Aucun des principaux navigateurs Web du marché n’aura résisté aux hackers en lice dans le cadre du concours Pwn2own.

Organisée la semaine passée dans le cadre de la conférence CanSecWest sur la sécurité informatique, cette compétition était supervisée par HP, en partenariat avec l’équipe Google Project Zero.

Cette 8e édition annuelle aura duré deux jours ; le premier ayant été marqué par l’exploit de Nicolas Joly. Ce jeune expert français a récolté un total de 90 000 dollars pour la découverte d’une vulnérabilité avec exécution à distance, le tout combiné à une faille au niveau du bac à sable (sandbox) dans deux produits Adobe : le plugin Flash et la visionneuse PDF Reader.

Dans le même temps, la palme de la vitesse a été décernée à Mariusz Mlynski : 0,512 seconde pour exploiter une brèche dans Firefox avec élévation de privilèges dans Windows et exécution de code à distance. Il glane au passage 55 000 dollars.

Le deuxième jour a été marqué par ce carton plein du Coréen JungHoon Lee, connu sous le pseudo lokihardt, et qui a contourné les protections mises en place aussi bien pour Chrome (versions bêta et stable) que Safari et Internet Explorer 11.

Pour pirater le navigateur de Google, il a utilisé une technique de débordement de tampon associée à des failles dans le noyau Windows. Safari est passé à la casserole par contournement de sandbox et corruption de mémoire ; Internet Explorer 11, par un bug de type TOCTOU (« time-of-check to time-of-use »), les défenses de la sandbox ayant été déjouées par injection JavaScript. un combo qui rapporte 225 000 dollars.

Dans les records de vitesse, l’équipe chinoise 360Vulcan a fait plier IE en 17 secondes, souligne Silicon.fr. Les regards se tournent désormais vers le projet Spartan, qui doit remplacer Internet Explorer chez Microsoft… et qui sera sans doute la vedette du Pwn2own 2016.

Crédit photo : Andrei Lishnesky- Shutterstock.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

3 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago