14 janvier 2025

Résultats du Pwn2Own 2011 : Un Constantinois fait tomber Safari sur Macbook Air

Chaouki Bekrar

Il n’aura pas fallu très longtemps pour que Safari, dans sa version 5.0.3 et « patché » 5.0.4 fonctionnant sur le dernier Macbook Air 13 pouces, équipé, lui, de Mac OS Snow Leopard (version 10.6.6 en 64-bits), ne tombe devant les assauts de la firme Vupen Security. Il semblerait que la faille du browser se trouvait dans le moteur de rendu open source Webkit. En créant une page web malveillante, et en exploitant une faille 0-day (faille inconnue), les responsables de Vupen Security ont pu lancer la calculatrice de Mac OS X, et ainsi écrire un fichier sur le disque de l’ordinateur, sans que cela fasse planter le navigateur Safari. Sur le site de l’entreprise de sécurité, en annonce déjà que la faille a été révélée à Apple et que ces derniers vont la corriger dans les prochaines mises à jours. Pour son exploit, Vupen Security, à sa tête M. Chaouki Bekrar, ce constantinois d’origine, a empoché 15 000 dollars et le fameux Macbook Air. Pour sa part, le navigateur de Microsoft n’a pas fait long feu, et c’est le chercheur irlandais en sécurité de la firme Metasploit et membre la société Harmony Security, Stephen Fewer, qui a réussi à exploiter trois vulnérabilités 0-day pour venir à bout d’Internet Explorer 8 sous un Sony Vaio équipé de Windows 7 (64 bits). Il semblerait que comme sur Safari, les protections DEP (Datat Execution Prevention) et ASLR (Address Space Layout Randomization) ont été contournées facilement par Stephen Fewer, ce dernier est reparti avec une prime de 15 000 dollars pour son exploit. La deuxième journée de ce concours de hacking qui se tenait en marge de la CanSecWest (conférence internationale sur la sécurité informatique), a vu la résistance de Firefox 3.6 face aux tentatives de Sam Dash pour le faire tomber, mais aussi la victoire par forfait du navigateur Chrome de Google, qui a tout simplement vu son hacker se désister au dernier moment, car la faille qu’il devait exploiter a été vite corrigée par Google, et ainsi il n’y avait personne pour gagner les 15 000 dollars du concours et les 20 000 supplémentaires promis par Google. L’édition 2011 du concours Pwn2Own a permis aussi de tester la vulnérabilité des terminaux mobiles et de leurs systèmes d’exploitation, cependant, seul l’iPhone 4 en iOS 4.3.0 et le BlackBerry Torch avec son système Blackberry OS 6 ont pu être mis à l’épreuve, car pour le Dell Venue Pro avec Windows Phone 7 et le Nexus S avec Android 2.3 n’ont pu être « hackés », pour la simple et bonne raison que les experts qui devaient le faire ne se sont pas présentés au concours. Comme pour sa version ordinateur, Safari mobile contient une faille au niveau des ASLR que le chercheur Charlie Miller, associé cette fois à un autre spécialiste (Dion Blazakis) a bien exploité et a donc pu venir à bout de l’iPhone 4. Quant au Blackberry Torch, une faille de sécurité a été détectée sur le nouveau WebKit de Blackberry OS 6 et que trois chercheurs ont su exploiter pour exécuter un code sur le smartphone, après avoir pris contrôle du répertoire des images via l’exécution d’un code malveillant depuis une page
web. Enfin, tous les vainqueurs du Pown2Own devront garder confidentielles les détails techniques des différentes failles qu’ils ont exploitées et doivent les communiquer à l’organisateur de l’événement HP TippingPoint qui se chargera, lui, de les transmettre aux firmes concernées. Pour sa part, et après avoir pris connaissance des failles de ses navigateurs, Apple a d’ores et déjà annoncé une série de mesures pour les corriger et qui seront intégrées les prochaines mises à jour.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *