Safari et Internet Explorer 8 tombent, mais pas Chrome. Les smartphones vedettes BlackBerry et iPhone 4 révèlent aussi leurs failles…
Partie intégrante de la CanSecWest Security Conference – qui s’est tenue du 9 au 11 mars 2011 à Vancouver – le Pwn2own Contest est une compétition qui vise à trouver les failles applicatives. Lorsqu’un chercheur détecte une vulnérabilité pour y exécuter un code arbitraire, il réalise un exploit salué par les organisateurs. Lors de la première journée, c’est au navigateur Mac “Safari” 5.0.3 (sous Mac OS 10.6.6) de succomber à la faille zero day. Il aura fallu à peine quelques secondes à la firme française VUPEN Security (basée à Montpellier) pour mettre à mal le navigateur (via la visite d’une page web infectée qui exploite une vulnérabilité du Webkit). Pourtant, Apple avait préparé une release 5.0.4 de Safari corrigeant une soixantaine de failles dans le navigateur, dont celle-ci, mais qui est arrivée trop tard pour la compétition. Toujours est-il qu’au travers de cet exploit, l’idée reçue que Mac OS est un système sûr vient de tomber. La firme de Cupertino a remis un chèque de 15 000 dollars à Vupen Security pour cette découverte.
L’exploit de Stephen Fewer
Le second navigateur à révéler des failles est Microsoft internet explorer 8 (fonctionnant sur Windows 7 64 bits + Service Pack 1). C’est Stephen Fewer – chercheur chez Harmony Security (Research & Consultancy) – qui a réussi trois exploits pour infiltrer IE8, recevant à cette occasion la somme de 15 000 dollars et un PC portable Sony. A la différence d’Apple, Microsoft n’avait pas préparé son poulain à affronter une telle compétition. Et l’éditeur de Redmond d’affirmer que son navigateur Internet Explorer 9 (IE9) ne peut être la victime du même exploit réalisé par le Pw20wn hacking contest… et qu’aucun patch ne sera produit à cet effet. “La faille a été constatée dans les Release Candidate (RC) et Release to the Web (RTM) d’Internet Explorer 9” déclare Jerry Bryant, un Group Manager du Microsoft Security Response Center. “Une mise à niveau a été effectuée pour les précédentes versions d’Internet Explorer” (comprenez IE8).
Source : Mag Securs