Le concours Pwn2Own 2019 a débuté à Vancouver (Canada), et dès le premier jour deux failles ont été dévoilées touchant Safari. La première, réalisée par l’équipe Fluorocetate, permet d’échapper au « bac à sable » du navigateur au moyen de la force brute. Amat Cama et Richard Zhu, les deux petits génies de l’équipe, ont remporté une récompense de 55 000 $ pour la démonstration de cette vulnérabilité.
L’autre faiblesse de Safari mise en lumière durant la compétition est le fruit du travail de phoenhex et de l’équipe qwerty. Cette fois, il s’agit d’une élévation de privilèges depuis Safari, ouvrant aux hackers une porte vers le système… et donc, d’en prendre le contrôle. Apple connaissant déjà un des bugs permettant d’exploiter cette faille, les découvreurs devront se contenter de partager 45 000 $ (un joli cadeau de consolation).
Les autres failles concernent la VirtualBox d’Oracle (par deux fois), et Workstation de VMware. En tout et pour tout, Trend Micro l’organisateur du concours a versé des récompenses d’un montant total de 240 000 $ pour ce premier jour. Tesla, Microsoft et VMware sont les partenaires de cette compétition annuelle sur trois jours. D’autres logiciels seront dans la ligne de mire des forts en thème : Firefox, Edge, et l’auto-pilote de Tesla.
Les participants ont un temps limité à 30 minutes et trois tentatives pour réaliser la démonstration de leurs failles. Trend Micro achète les failles, qui sont ensuite communiquées aux éditeurs. Apple ne manquera pas de boucher les vulnérabilités qui touchent Safari.
