Lors du concours de piratage Pwn2Own, les quatre navigateurs les plus utilisés ont tous été piratés. En tout, l’on y a dévoilé 21 bugs, et 557.500 dollars de prix ont été décernés.
‘Celui qui a marqué la concours de son empreinte’ fut JungHoon Lee, un pirate qui opère sous le pseudonyme lokihardt. Il est parvenu à mettre tant Internet Explorer que Safari et Chrome à sa botte. L’action qui lui rapporta le plus, fut le piratage de Chrome, où il détecta une ‘race-condition’: dans ce genre de situation, un pirate peut entrer en cachette son code – à condition qu’il soit bien conçu et agisse de façon suffisamment rapide – dans un processus existant attendant une réponse.
Cette découverte a rapporté à Lee 75.000 dollars, auxquels sont venus s’ajouter 25.000 dollars, du fait qu’ainsi, il est parvenu aussi à s’introduire dans le système d’exploitation Windows sous-jacent. Et comme cela a aussi marché sur la bêta de Chrome, il a reçu 10.000 dollars en sus. En tout, la démonstration de Lee a pris 2 minutes.
Au niveau d’Internet Explorer, Lee exploita également une ‘race-condition’, la faille ‘time-of-check-to-time-of-use’. Il parvint à contourner les mesures de sécurité prévues dans IE avec un JavaScript. Il empocha ainsi 65.000 dollars. Et dans le cas de Safari, il repéra une brèche dans la gestion de la mémoire, connue sous la dénomination ‘Use after free’. Cette découverte lui rapporta encore 50.000 dollars.
En tout, le concours Pwn2Own révéla cette année 5 bugs dans Windows, 4 bugs dans Internet Explorer 11, 3 bugs dans Firefox, 3 bugs dans Adobe Reader, 3 bugs dans Adobe Flash, 2 bugs dans Apple Safari et 1 bug dans Google Chrome. Vous trouverez plus de détails à ce propos sur le site web de HP – qui organise le concours via sa filiale TippingPoint – dans les comptes-rendus des journée 1 et journée 2.
Source: Automatiseringgids.
