L'équipe Fluoroacetate

Lors de la conférence PWN2OWN à Vancouver, deux exploits 0-day ont été trouvés dans Safari, l’un permettant aux attaquants de sortir de la Sand Box, l’autre de prendre un contrôle root sur le Mac. Mauvais !

La première faille est à mettre au crédit de l’équipe Fluoroacetate, qui ont réussi à exploiter le navigateur et à échapper au Sand Box en utilisant deux méthodes de dépassement de mémoire. La tentative a presque pris tout le temps imparti, car ils ont utilisé une technique de force brute lors de la sortie du bac à sable. Gain pour cette découverte : 35 000 $.

La seconde, dénichée par les équipes the phoenhex & qwerty, a visé le kernel pour obtenir une élévation de privilège, et d’autres techniques avancées, pour obtenir un accès root à la machine. Mais, note PWN2OWN, il ne s’agit que d’une victoire partielle, Apple ayant connaissance d’un des bugs utilisé, qu’elle doit corriger sous peu. L’équipe a gagné 45 000 $ dans l’affaire.

AUCUN COMMENTAIRE

À vous la parole !

Fermer
*
*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.