Les navigateurs Microsoft Edge et Safari ont été les cibles privilégiées des hackers lors de la première journée de compétition de piratage Pwn2Own. Et, seul ce dernier est resté dans le collimateur des chercheurs pour le deuxième jour de l’événement.
Richard Zhu a été le premier à s’amuser avec un exploit élévation des privilèges (EoP) de Windows ciblant Mozilla Firefox, permettant d’exploiter le navigateur lors de sa première tentative. Son exploit impliquait un out-of-bounds (OOB) dans le navigateur et un débordement d’entier dans le noyau Windows. Ainsi, le fait de pouvoir atteindre le navigateur lui valut un prix de 50 000 dollars. Dans l’ensemble, Zhu a reçu la modique somme de 120 000 dollars dans l’édition 2018 de la Pwn2Own pour la découverte de nombreuses failles.
Safari était quant à lui la prochaine cible sur la liste, et cette fois Markus Gaasedelen, Nick Burnett, et Patrick Biernat ont réussi à compromettre le navigateur sur la quatrième tentative avec une élévation des privilèges du noyau macOS.
Cependant, la compétition exige que les exploits réussis soient démontrés dans un maximum de trois tentatives, ce qu’ils n’ont pas réussi à faire, faisant qu’ils n’ont pas été éligibles à un prix. Au lieu de cela, le bug a été mentionné à Apple, et sera bientôt corrigé avec une mise à jour logicielle.
Des correctifs arrivent
Si les correctifs de Safari vont bientôt être disponibles, ce dernier a été piraté plus rapidement par Alex Plaskett, Georgi Geshev et Fabi Beterke, qui ont réussi à trouver une faille dans le navigateur pour obtenir des droits d’exécution de code tiers. L’équipe a récolté 55 000 dollars après l’attaque réussie.
Microsoft Edge, Safari et Mozilla Firefox ont tous été piratés lors du concours Pwn2Own de cette année, alors attendez-vous à des mises à jour pour ces trois navigateurs afin de corriger les failles sous peu.
Toutes les vulnérabilités sont divulguées en privé aux sociétés mères, qui commencent alors le développement de correctifs pour les systèmes dans le monde entier. Aucune date de mise à jour n’est généralement proposée pour ces mises à jour de sécurité, mais dans la plupart des cas, elles sont incluses dans les cycles de correctifs suivants pour chaque entreprise.
