Ouvrir le menu principal

MacGeneration

Recherche

Pwn20wn 2018 : des failles à boucher pour Apple dans Safari et macOS

Florian Innocente

vendredi 16 mars 2018 à 11:00 • 18

Logiciels

Safari devrait prochainement recevoir quelques correctifs puisqu'il a fait l'objet d'une attention toute particulière de la part de hackers qui ont mis à jour des défauts de sécurité, ces bidouilleurs de talent participaient à la compétition Pwn2Own 2018.

Ces dernières 48h à Vancouver au Canada, ces hackers ont réussi à passer outre les barrières de sécurité de Safari sur macOS, de Firefox, d'Edge, de Windows et de VirtualBox d'Oracle. Les participants devaient exécuter leurs manipulations dans un temps limité de 30 minutes, avec trois essais. Tout était effectué sur du matériel mis à leur disposition, fonctionnant avec des systèmes et logiciels tous à jour. Certains candidats ont d'ailleurs annulé leur participation au dernier moment car les failles de sécurités qu'ils avaient dénichées venaient d'être bouchées.

Dans ce concours, chaque réussite est sanctionnée par l'attribution de points et récompensée par une coquette somme dont le montant varie selon l'importance de la cible. Office, Adobe Reader, Outlook ou encore Apache Web Server, étaient par exemple sur la table, mais ils n'ont fait l'objet d'aucune tentative ou alors infructueuses. En plus d'un chèque, les gagnants repartent avec quelques goodies et l'ordinateur qui leur a été fourni pendant l'épreuve (MacBook Pro ou Surface Book 2).

Exemples de certaines des récompenses proposées en fonction des cibles

Les failles découvertes sont achetées par l'organisateur Trend Micro qui en transmet les détails aux éditeurs. Cette année, Microsoft et VMware, sponsors de ce rendez-vous, avaient avancé l'équivalent de 2 millions de dollars en argent et en prix divers comme carottes. Toutes les tentatives n'ayant pas été couronnées de succès avec les logiciels soumis aux participants, ce sont finalement 267 000 $ (216 000 €) qui ont été distribués.

Richard Zhu a gagné cette compétition et empoché 120 000 $ en utilisant une faille dans Firefox qui lui a permis ensuite de continuer son chemin jusqu'au kernel de Windows. Il a montré également ses compétences avec Safari mais le temps alloué n'a pas suffi. Idem pour l'équipe de Ret2 Systems qui a exploité une faille dans Safari, toutefois la manipulation n'a fonctionné qu'au quatrième essai. Trend Micro a néanmoins acheté ces bugs.

Samuel Groß a réédité son coup de l'année dernière en tirant profit de bugs dans Safari, dans macOS et son kernel. Il a réussi à lancer une application depuis Safari (l'utilitaire Calculette mais ce pourrait être n'importe quoi d'autre, c'est le principe qui compte) et il a pris le temps de signer son exploit en affichant son pseudo dans la Touch Bar. Ce faisant, il a remporté la machine et 65 000 $.

Au total, Trend Micro a acheté 5 failles qui seront communiqués à Apple, 4 à Microsoft, 2 à Oracle et 1 à Mozilla.

illustration magazine 25 ans

MacGeneration a 25 ans !

Participez à la fête et découvrez l’histoire de votre site favori en précommandant notre magazine exclusif.

Je précommande le magazine

Satechi annonce un hub pour le Mac mini M4

21/11/2024 à 21:30

• 16


L'Apple Watch Ultra 2 et quatre autres montres à l'épreuve du marathon de New York

21/11/2024 à 15:07


Pour son Black Friday, Apple offrira jusqu’à 150 € en carte cadeau

21/11/2024 à 15:02

• 10


Antitrust : le DoJ réclame officiellement que Google vende Chrome

21/11/2024 à 10:32

• 97


Apple, Anker : de nombreux adaptateurs secteur en promo (jusqu’à -33 %)

21/11/2024 à 10:02

• 3


Les meilleures offres de la Black Week. Tout au long du mois de novembre

Partenaire


Le SSD Thunderbolt 5 d'OWC est disponible : le plus rapide du marché, mais aussi le plus cher

20/11/2024 à 21:30

• 15


Test de l’iMac 24" M4 : haut en couleur

20/11/2024 à 20:30

• 27


Promotion Black Friday de Godeal24 : Microsoft Office à - 80 %, c'est maintenant 📍

20/11/2024 à 20:22


macOS 15.2 : quatrième bêta développeur, et troisième bêta publique 🆕

20/11/2024 à 19:56

• 8


Refurb : -220 € sur le MacBook Air M3 en 16/1 To

20/11/2024 à 17:45

• 38


Aqara commercialise aussi un détecteur de fumée connecté compatible HomeKit (avec code promo 🆕)

20/11/2024 à 15:25


Apple vs DoJ : la Pomme va demander à un juge fédéral d’abandonner les poursuites

20/11/2024 à 15:09

• 57


Apple vend désormais elle-même des espaces publicitaires dans Apple News

20/11/2024 à 14:38

• 8


Beats : Erling Haaland fait de la pub à l'ancienne

20/11/2024 à 12:15

• 13


YouTube : IMG_0001 déterre de vieilles vidéos filmées à l’iPhone

20/11/2024 à 11:44

• 9