IE10, Chrome, Firefox et Java n’ont pas résisté (Pwn2Own)

Lors de la première journée du concours de hacking Pwn2Own, organisé lors du CanSecWest Vancouver 2013 (du 6 au 8 mars), tous les principaux navigateurs Web dans leur version stable la plus à jour ainsi que Java n’ont pas résisté aux attaques.

Dans les prochains jours, une fournée de mises à jour de sécurité est d’ores et déjà à prévoir. Dans le cadre du concours de hacking Pwn2Own, Internet Explorer 10, Google Chrome et Firefox n’ont pas résisté aux attaques des participants en lice. Le plugin Java pour Internet Explorer 9 a également succombé à l’exploitation de vulnérabilités 0-day.

Les chercheurs de la société française Vupen ont compromis la sécurité de IE10 sur une tablette Surface Pro fonctionnant donc avec Windows 8 Pro. Deux failles 0-day ont été exploitées et la protection sandbox a été prise à défaut.

Ils ont récidivé avec Firefox 19 sur Windows 7 via une vulnérabilité et une technique pour se dépatouiller de la protection ASLR et DEP du système d’exploitation. Ils ont ajouté Java 7 sur Windows 7 à leur tableau de chasse.

Google Chrome 25 a été attaqué avec succès par deux chercheurs du MWR Labs via deux vulnérabilités pour passer outre la sandbox du navigateur sur Windows 7. Une vulnérabilité supplémentaire dans le noyau Windows leur a permis d’exécuter du code arbitraire.

La première journée a été complétée par les succès de deux chercheurs d’Accuvant Labs et Contextis à l’encontre de Java.

Conformément aux règles du concours, toutes les vulnérabilités 0-day et techniques utilisées pour les attaques sont rapportées aux éditeurs concernés afin de leur permettre de mettre au point de correctifs. Un concours qui est pour rappel doté de primes :

• Navigateur Web
• Google Chrome sur Windows 7 : 100,000 $ plus l’ordinateur portable compromis (estimé à 2000 $) et 20.000 points de fidélité ZDI (estimé à 10.000 $)
• Microsoft Internet Explorer, soit :
• IE 10 sur Windows 8: 100.000 $, plus l’ordinateur portable compromis (estimé à 2000 $) et 20.000 points de fidélité ZDI (estimé à 10.000 $), ou
• IE 9 sur Windows 7: 75,000 $ plus le portable compromis (estimé à 2000 $) et 20.000 points de fidélité ZDI (estimé à 10.000 $)
• Mozilla Firefox sur Windows 7 : 60.000 $ plus l’ordinateur portable compromis (estimé à 2000 $) et 20.000 points de fidélité ZDI (estimé à 10.000 $)
• Apple Safari sur Mac OS X Mountain Lion : 65.000 $ plus l’ordinateur portable compromis (estimé à 2000 $) et 20.000 points de fidélité ZDI (estimé à 10.000 $)

• Web Browser Plug-ins à l’aide d’Internet Explorer 9 sur Windows 7 :
• Adobe Reader XI (70.000 $), plus l’ordinateur portable compromis (estimé à 2000 $) et 20.000 points de fidélité ZDI (estimé à 10.000 $)
• Adobe Flash (70.000 $), plus l’ordinateur portable compromis (estimé à 2000 $) et 20.000 points de fidélité ZDI (estimé à 10.000 $)
• Oracle Java (20.000 $), plus l’ordinateur portable compromis (estimé à 2000 $) et 20.000 points de fidélité ZDI (estimé à 10.000 $)