Concours Hacking - Quel navigateur sera le plus résistant

Publié le 11 Mars 2011

Pour sa 5ème édition, le concours de hacking Pwn2own a commencé, comme chaque année à la Conférence CanSecWest qui rassemble les experts en sécurité informatique.

Au programme de la compétition, prendre le contrôle du système d'exploitation en utilisant le navigateur pour exécuter du code malveillant. Ces spécialistes doivent échapper aux barrières de sécurité comme les bacs à sable et contourner les protections anti exploit incluent dans les systèmes d'exploitation : DEP (Data Execution Prevention) et ASLR (Address Space Layout Randomization).

Voici les résultats de cette première journée qui mettait au défi Internet Explorer 8 et Safari 5

Commençons par le moins fiable, la prise de contrôle d'un Mac OS X 10.6.6 (64bits) via Safari en 5 secondes, on doit cet exploit aux membres de la société française VUPEN.
La faille a exploité une page web contenant le code malicieux qui a ouvert la calculatrice Mac OS X et a écrit un fichier sur le disque dur.

Guère plus difficile pour Internet Explorer, c'est l'expert Stephen Fewer d'Harmony Security, qui a fait chuter le navigateur sur une version 64 bits de Windows 7 SP1 en exploitant trois vulnérabilités deux pour lancer la calculatrice de Windows et le dernier pour outrepasser le mode Protection du navigateur.

Assez surprenant, les éditeurs disposent de 6 mois pour déployer un patch avant la publication des hacks.
 
A noter :

- le navigateur de Google Chrome est hors compétition, pour la simple raison que la seule personne inscrite pour hacker le navigateur n'était pas présent.

- le navigateur Opera ne fait pas partie du concours


A suivre les prochains défis pour Firefox 3.6 et les smartphones : iPhone, BlackBerry, Android et Windows Phone 7.


Source : cansecwest - DVLab

 

Rédigé par Cybersecurite

Publié dans #Internet

Repost 0
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article