Pwn2Own : jeu de massacre pour les navigateurs

Par:
fredericmazue

ven, 08/03/2013 - 12:24

Pwn2Own est un concours de hacking qui permet aux participants de mettre en évidence des failles de sécurité, principalement dans les navigateurs Internet, mais aussi dans les systèmes d'exploitation et d'être récompensés pour cela.

Cette année, alors que le concours vient à peine de commencer, tous les "grands navigateurs" se sont fait massacrer.

C'est d'abord la société française Vupen, qui toujours s'illustre dans ce concours, qui a mis à mal Internet Explorer10 sur une tablette Surface Pro tournant avec Windows 8. Deux failles ont ainsi été mises en évidence, qui permettent de sortir de la sandbox du navigateur.

Vupen, encore, a ensuite mis à mal Firefox 19 sous Windows 7, avec un exploit qui permet de passer outre les protections ASLR et DEP du noyau. Dans la foulée une faille dans Java 7 (encore une !!) a été mise en évidence par Vupen.

Quant à Chrome 25, c'est la société MWR Labs qui lui a réglé son compte. Deux failles permettent de sortir de la sandbox. Ces exploits, ajouté à un exploit qui exploite une vulnérabilité dans le noyau de Windows, a permis aux experts de MWR Labs d'exécuter un code arbitraire sur un Windows 7