Le concours Pwn2Own au salon annuel SecCanOuest La conférence à Vancouver, en Colombie-Britannique, est devenue une sorte d'événement médiatique pour les chercheurs en sécurité, une occasion pour eux de sortir de derrière eux. LCD et démontrent que certaines des menaces de sécurité qu'ils ont laissé entendre pourraient avoir un impact sur les utilisateurs d'ordinateurs quotidiens sont réelles - et récupérez de l'argent en espèces pour leur efforts. Et cette année, ils n’ont pas déçu: lors du concours Pwn2Own, l’iPhone et Safari d’Apple sont tombés en premier face aux experts en sécurité, suivis de peu par Internet Explorer 8 et Firefox sous Windows 7.
Sur Macintosh, la star de Pwn2Own cette année était encore Charlie Miller de Évaluateurs de sécurité indépendants, qui a remporté le premier prix de 10 000 $ en démontrant une attaque de rachat sur Safari et un Apple MacBook Pro qui a accordé accéder à la machine sans nécessiter aucun accès physique: tout ce que l'utilisateur de Safari avait à faire était de visiter un site Web malveillant. code. Miller a gagné 10 000 $ en 2008 pour avoir piraté un MacBook Air, et 5 000 $ l'année dernière en exploitant une autre faille de sécurité dans le navigateur Safari d'Apple.
Vidéos recommandées
chercheur néerlandais en sécurité Peter Vreugdenhil a également gagné 10 000 $ pour un exploit de sécurité qui contournait les fonctionnalités de sécurité d'Internet Explorer 8 de Microsoft. Un chercheur du Royaume-Uni MWR InfoSécurité nommé Nils (pas de nom de famille, s'il vous plaît) a récupéré 10 000 $ supplémentaires pour un exploit ciblant Firefox sur la version 64 bits de Windows 7. L'année dernière, Nils a récolté 15 000 $ pour une série d'exploits ciblant Firefox, Safari et Internet Explorer 8.
Mais la star du spectacle était peut-être l'iPhone d'Apple, victime de Ralf Philipp Weinmann et Vincenzo. Iozzo, de l'Université du Luxembourg et de la société allemande Zynamics (respectivement), qui se partageront une bourse de 15 000 $ prix.
Les chercheurs ne partagent pas les détails de leurs attaques avec le grand public, afin de donner aux développeurs de navigateurs et de systèmes d’exploitation la possibilité de corriger les failles. Cependant, l’attaque de Miller contre Safari est décrite comme si fiable que, en termes de sécurité de l’information, c’est « militarisé ». L’attaque de Vreugdenhil contre IE8 était un processus en quatre parties qui exploitait deux vulnérabilités; comme pour l’attaque Safari de Miller, elle a été lancée à partir d’un utilisateur se connectant à un site Web contenant du code malveillant. L’attaque de Nils sur Firefox a exploité un bug de corruption de mémoire.
L’attaque de Weinmann et Iozzo contre l’iPhone impliquait également la visite d’un site contenant un code malveillant; la technique contournait l’exigence de signature de code de l’iPhone et pouvait être utilisée pour accéder à la base de données SMS, aux contacts, aux photos ou à d’autres données d’un iPhone.
Le concours Pwn2Own est sponsorisé par TippingPoint's Initiative Jour Zéro.
Au début de la deuxième journée du concours Pwn2Own, Chrome 4 de Google reste le seul navigateur encore debout… mais c'est probablement parce qu'il n'a pas été testé du tout le premier jour.
Recommandations des rédacteurs
- Comment connecter votre iPhone à un téléviseur Samsung
- Regardez le Galaxy S23 Ultra et l’iPhone 14 Pro Max s’affronter lors d’un test de chute brutal
- L’appareil photo de mon iPhone 14 Pro est en ruine, et c’est entièrement la faute d’Apple
- Le nouvel affichage permanent d’iOS 16.2 m’a fait détester mon iPhone 14 Pro
- iOS 16.2 est là, ajoutant Apple Music Sing (et bien plus encore) à votre iPhone
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
