21 septembre 2024

Des bugs dans Tesla, Microsoft et Ubuntu découverts lors du concours de piratage Pwn2Own 2022

Plusieurs bugs dans les produits Microsoft, Ubuntu et Tesla ont été découverts et exploités lors de la conférence de trois jours sur le piratage Pwn2Own à Vancouver. La conférence — organisée par Trend Micro’s Zero Day Initiative — donne aux pirates une chance de gagner de l’argent en échange de la découverte et de l’exploitation de vulnérabilités dans des produits populaires.

Une entreprise qui est un habitué de l’événement est Tesla, et ils sont revenus cette année pour voir qui peut trouver un exploit dans le système d’infodivertissement de leur voiture. 75 000 dollars ont été versé aux pirates de la société de sécurité offensive Synacktiv -David Berard et Vincent Dehors – pour deux bugs uniques trouvés dans le système d’infodivertissement de Tesla Model 3. Les bugs ont permis aux pirates de prendre le contrôle du coffre et activer les phares et les essuie-glaces. Tesla aura désormais 90 jours pour produire un patch, selon les termes du concours.

Vulnérabilités divulguées pendant le concours

Un ingénieur en sécurité de Sea Security Response, Bien Pham, et une équipe de la Northwestern University ont démontré deux vulnérabilités d’élévation des privilèges « Utiliser après la libération » sur les ordinateurs de bureau Ubuntu. Les bugs Use After Free sont des vulnérabilités qui surviennent en raison de problèmes de gestion de la mémoire par les applications. Les bugs de corruption de mémoire sont généralement utilisés pour attaquer et exploiter les navigateurs. Un autre bug Use After Free a été trouvé dans Ubuntu aux côtés d’autres vulnérabilités de Microsoft Windows 11.
En tout, ce sont 16 bugs du zéro day qui ont été exploités dans Ubuntu Desktop, Apple Safari, Oracle Virtualbox, Mozilla Firefox, ainsi que Windows 11 et Teams de Microsoft.

Le nom du concours vient d’une combinaison du terme d’argot ‘pwn’, qui signifie généralement battre quelqu’un d’autre, et ‘own’ soit posséder, car les concurrents qui réussissent à pirater le logiciel et la technologie peuvent repartir avec. Enfin, ce sont pas moins de 945 000 dollars qui ont été versé en récompenses pour les pirates.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *