Ouvrir le menu principal

MacGeneration

Recherche

Pwn20wn 2018 : des failles à boucher pour Apple dans Safari et macOS

Florian Innocente

vendredi 16 mars 2018 à 11:00 • 18

Logiciels

Safari devrait prochainement recevoir quelques correctifs puisqu'il a fait l'objet d'une attention toute particulière de la part de hackers qui ont mis à jour des défauts de sécurité, ces bidouilleurs de talent participaient à la compétition Pwn2Own 2018.

Ces dernières 48h à Vancouver au Canada, ces hackers ont réussi à passer outre les barrières de sécurité de Safari sur macOS, de Firefox, d'Edge, de Windows et de VirtualBox d'Oracle. Les participants devaient exécuter leurs manipulations dans un temps limité de 30 minutes, avec trois essais. Tout était effectué sur du matériel mis à leur disposition, fonctionnant avec des systèmes et logiciels tous à jour. Certains candidats ont d'ailleurs annulé leur participation au dernier moment car les failles de sécurités qu'ils avaient dénichées venaient d'être bouchées.

Dans ce concours, chaque réussite est sanctionnée par l'attribution de points et récompensée par une coquette somme dont le montant varie selon l'importance de la cible. Office, Adobe Reader, Outlook ou encore Apache Web Server, étaient par exemple sur la table, mais ils n'ont fait l'objet d'aucune tentative ou alors infructueuses. En plus d'un chèque, les gagnants repartent avec quelques goodies et l'ordinateur qui leur a été fourni pendant l'épreuve (MacBook Pro ou Surface Book 2).

Exemples de certaines des récompenses proposées en fonction des cibles

Les failles découvertes sont achetées par l'organisateur Trend Micro qui en transmet les détails aux éditeurs. Cette année, Microsoft et VMware, sponsors de ce rendez-vous, avaient avancé l'équivalent de 2 millions de dollars en argent et en prix divers comme carottes. Toutes les tentatives n'ayant pas été couronnées de succès avec les logiciels soumis aux participants, ce sont finalement 267 000 $ (216 000 €) qui ont été distribués.

Richard Zhu a gagné cette compétition et empoché 120 000 $ en utilisant une faille dans Firefox qui lui a permis ensuite de continuer son chemin jusqu'au kernel de Windows. Il a montré également ses compétences avec Safari mais le temps alloué n'a pas suffi. Idem pour l'équipe de Ret2 Systems qui a exploité une faille dans Safari, toutefois la manipulation n'a fonctionné qu'au quatrième essai. Trend Micro a néanmoins acheté ces bugs.

Samuel Groß a réédité son coup de l'année dernière en tirant profit de bugs dans Safari, dans macOS et son kernel. Il a réussi à lancer une application depuis Safari (l'utilitaire Calculette mais ce pourrait être n'importe quoi d'autre, c'est le principe qui compte) et il a pris le temps de signer son exploit en affichant son pseudo dans la Touch Bar. Ce faisant, il a remporté la machine et 65 000 $.

Au total, Trend Micro a acheté 5 failles qui seront communiqués à Apple, 4 à Microsoft, 2 à Oracle et 1 à Mozilla.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Émulation : comment jouer à ses vieux jeux sur iPhone ou iPad ?

26/04/2025 à 10:49

• 9


Pour le producteur de La Maison, « Apple est la pire boîte marketing de l’univers »

26/04/2025 à 00:08

• 82


Upscaling vidéo et restauration photo plus rapides sur Mac/PC : VideoProc AI mis à jour est à - 62 % 📍

25/04/2025 à 17:44

• 0


Derniers jours Apple week à la Fnac : -10 % sur des MacBook Pro, iPhone 15 Pro à 16 Pro Max et iPad Pro M4

25/04/2025 à 16:00

• 7


dav1d, le décodeur AV1 le plus optimisé qu'Apple refuse d'utiliser

25/04/2025 à 14:00

• 5


Microsoft a conçu une publicité par IA et personne n’a rien vu

25/04/2025 à 13:45

• 32


Razer lance sa première souris ergonomique verticale face à Logitech

25/04/2025 à 12:15

• 10


Yahoo! veut acheter Chrome

25/04/2025 à 10:45

• 36


Slate veut repartir de zéro avec un pick-up électrique compact et épuré pour moins de 20 000 $

25/04/2025 à 10:00

• 112


iPadOS 19 verrait apparaître une barre de menus sur iPad

25/04/2025 à 09:24

• 48


Huit ans après DeX, Apple s’ouvrirait peu à peu à un bureau sur écran externe pour iOS 19

25/04/2025 à 09:23

• 52


John Giannandrea aurait aussi perdu l'équipe en charge de la robotique chez Apple

25/04/2025 à 07:39

• 12


Les procès antitrust contre les GAFAM se poursuivent aux USA, malgré les changements de présidence

24/04/2025 à 21:30

• 28


Prise en main de Supercharge, l’app à tout faire qui rend bien des services sur le Mac

24/04/2025 à 20:30

• 18


TSMC annonce la gravure en 1.4 nm, quand la Russie espère atteindre les 28 nm en 2030

24/04/2025 à 20:20

• 56


Données personnelles : comment Incogni supprime ce que les autres ne peuvent pas 📍

24/04/2025 à 18:17

• 0