Tous les principaux navigateurs Web, y compris Chrome, Firefox, Internet Explorer et Safari, ont été piratés lors du concours Pwn2Own de cette année, organisé par la Zero Day Initiative (ZDI) de HP..

Deux vulnérabilités ont été découvertes dans Google Chrome, notamment un contournement du bac à sable et un bogue de lecture / écriture arbitraire, qui ont tous deux entraîné l'exécution de code. Ce dernier a été considéré comme une victoire partielle, car une partie de celle-ci a été découverte plus tôt à Pwnium.

Trois bogues gratuits use-after-free et un bogue du noyau permettant d'ouvrir la calculatrice système ont été découverts dans Microsoft Internet Explorer..

Deux bogues en lecture / écriture non conformes, entraînant l'exécution de code, ont été détectés dans Mozilla Firefox, ainsi qu'un bogue d'utilisation après coup permettant de contourner le sandbox. Deux autres problèmes ont été détectés, qui permettent une élévation des privilèges dans le navigateur et un contournement de mesure de sécurité..

Un débordement de tas et un contournement du bac à sable entraînant l'exécution de code ont été détectés dans Apple Safari.

Ce n'était pas tous les navigateurs Web non plus. Un autre dépassement de tas et un contournement du bac à sable ont été découverts dans Adobe Flash et Adobe Reader, ainsi qu'un contournement du bac à sable Internet Explorer après utilisation libre dans Flash..

Possédé

Les sponsors de la compétition, Google et ZDI, ont également présenté quelques bugs trouvés dans le cadre de la partie Pwn4Fun de l'événement, ce qui n'était probablement pas très amusant pour les fabricants de navigateurs ciblés..

Google a montré comment exploiter Safari pour ouvrir Calculator en tant que root sur Mac OS X, tandis que ZDI lançait Scientific Calculator à l'aide d'un exploit de contournement de sandbox dans Internet Explorer..

Un total de 850 000 $ a été versé aux gagnants au cours des deux jours, en plus des ordinateurs portables, des points ZDI et d'autres prix. 82 500 $ ont également été versés à la Croix-Rouge canadienne par Google et ZDI.

Toutes les vulnérabilités découvertes ont été signalées aux sociétés respectives afin qu’elles puissent être traitées dans les futurs correctifs..

Via ZDNet

  • Quel navigateur devriez-vous utiliser?