Pwn2Own 2015 : tous les navigateurs mis à mal, Adobe Flash et Reader toujours aussi vulnérables

Par:
fredericmazue

lun, 23/03/2015 - 14:39

L'édition 2015 du concours de hacking Pwn2Own aura été une grande année. Pwn2Own  est un concours de hacking blanc qui se déroule chaque année lors de la conférence CanSecWest de Vancouver au Canada.

L'édition 2015 a été une grande année, car elle a vu les chercheurs en sécurité et autres hackers blancs se surpasser pour empocher un total de primes de 557 500 dollars, ce qui est un record, pour la démonstration d'une quarantaine de vulnérabilités, ce qui est également un record.

En clair, en dépit des efforts faits en matière de sécurité par la plupart des éditeurs, les outils informatiques les plus courants restent vulnérables et vecteurs de piratages des ordinateurs individuels.

Commençons par un cocorico avec le chercheur en sécurité français Nicolas Joly, qui s'est illustré en s'évadant de la sandbox du player Flash (encore et toujours lui...) sous Windows en combinant l'exploit de deux vulnérabilités. L'une d'elles est une vulnérabilité UAF, pour use-after-free, qui consiste en un accès d'une zone mémoire après sa libération. Nicolas Joly a ainsi pu obtenir la possibilité d'exécuter un code arbitraire sur le système Windows attaqué.

Nicolas Joly s'est ensuite illustré en exploitant une vulnérabilité d'Adobe Reader par une attaque en débordement de tampon, ceci pour aboutir une nouvelle fois à l'exécution de code arbitraire sur la machine attaquée. Pour ces deux exploits Nicolas Joly a empoché un total de 90 000 dollars.

Mais le héros de PWn2Own 2015 est incontestablement le hacker coréen, JungHoon Lee alias lokihardt, qui a raflé près de la moitié des gains à lui tout seul, soit 225 000 dollars. Il a mis à mal Chrome, dans ses versions stable et bêta, Safari sur Mac OS X et Internet Explorer 11 en utilisant différentes techniques. Il a contourné le sandboxing de Safari en exploitant un bug de fuite mémoire, il a mis à mal Firefox avec une vulnérabilité dans l'affichage du format SVG, il a cassé Chrome par une attaque en débordement de tampon, il s'est évadé d'Internet Explorer via une vulnérabilité dans le moteur JavaScript.

Les éditeurs des produits concernés, Adobe, Microsoft, Apple, Google, se sont dit admiratifs par la qualité des techniques employées par les candidats de Pwn2Own. Ceci non sans avouer avoir été impressionnés par la vulnérabilité de leurs produits. A eux de corriger toutes ces vulnérabilités. Ils ont du pain sur la planche car au total ont été découvertes :

  • 6 vulnérabilités de sécurité découverts dans Adobe Reader
  • 6 vulnérabilités dans Adobe Flash
  • 8 vulnérabilités dans le système d’exploitation Windows
  • 6 vulnérabilités dans Internet Explorer 11
  • 5 vulnérabilités dans Mozilla Firefox
  • 2 vulnérabilités dans Apple Safari
  • 1 vulnérabilité dans Google Chrome