IPB

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> Pwn2own: 2 failles 0-day exploitées dans Safari, Réactions à la publication du 16/03/2017
Options
Lionel
posté 16 Mar 2017, 15:56
Message #1


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 48 929
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Comme chaque année le concours de hacking Pwn2own a permis à des hackers de prouver leur savoir-faire pour prendre le contrôle de machines dans le système d'exploitation le plus récent disponible et sans adjonction de logiciels tiers.
A ce jeu, des failles 0-day ont été démontrées dans Safari. Dans les deux cas elles ont permis une fois exploitées de prendre le contrôle de la machine avec des privilèges d'administrateur.

Ces failles n'ont pas été rendues publiques mais elles ont en revanche été communiquées à Apple afin d'être comblées dans les plus brefs délais.

Lien vers le billet original



--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
raoulito
posté 16 Mar 2017, 16:18
Message #2


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 026
Inscrit : 24 Jan 2014
Lieu : Casablanca
Membre no 189 026



j'ai peut-être mal compris, mais sur le site ils parlent d'un demi-succès pour avoir réussi à laisser un message sur la touchbar
"11:30am - Samuel Groß (@5aelo) and Niklas Baumstark (_niklasb) targeting Apple Safari with an escalation to root on macOS
PARTIAL SUCCESS: In a partial win, Samuel Groß (@5aelo) and Niklas Baumstark (@_niklasb) earn some style points by leaving a special message on the touch bar of the Mac. They used a use-after-free (UAF) in Safari combined with three logic bugs and a null pointer dereference to exploit Safari and elevate to root in macOS. They still managed to earn $28,000 USD and 9 Master of Pwn points."

ce qui d'ailleurs n'enlève pas au fait qu'ils sont passés et que l'autre faille est totale.


Sinon, en général, on voit qu'ubuntu, microsoft edge ou acrobat reader (qui en serait surpris) sont eux aussi tombés confused5.gif




--------------------
  • Du G3 blue&white 1999 1Go de Ram au macbook pro I5 13" 2011, avec 8 Go de ram et un SSD samsung 850 evo.
  • une fois mon vénérable iMac 24 pouces 2006 devenu une TV, bonjour au mac mini i5, SSD 256, 16go de ram.
Début sur Mac aux Beaux-Arts, en 1995, c'etait des LCII, ma première fois. Du coup j'ai foncé.. Sur Amiga 1200 avec Cartes d'extensions etc.. Haaaa que de souvenirs.. :P
Macbidouille? Je les suis depuis.. les tous débuts il me semble.
Et çà c'est mon bébé chéri: http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :)
Go to the top of the page
 
+Quote Post
__otto__
posté 16 Mar 2017, 16:48
Message #3


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 047
Inscrit : 28 Mar 2011
Membre no 165 999



Citation (raoulito @ 16 Mar 2017, 17:18) *
Sinon, en général, on voit qu'ubuntu, microsoft edge ou acrobat reader (qui en serait surpris) sont eux aussi tombés confused5.gif

C'est assez logique : les préoccupations de sécurité par les grandes boites sont arrivées assez tard dans l'histoire de l'informatique. Parallèlement les OS et applications utilisent de plus en plus de code, de plus en plus de sur-couche d'API en multipliant ainsi les points d'entrées.
On considère que chez MS, il a un bug tout les 2000 lignes de code (ce qui est déjà très bon)... MS office doit contenir plusieurs millions de ligne de code...
Firefox c'est 15,585,541 lignes de code...
15 Millions pour le kernel linux...

Ce message a été modifié par __otto__ - 16 Mar 2017, 16:48.


--------------------
Je suis plus Charlie depuis que
je suis écouté


i7 3.4ghz, 16 go ram, ssd 512 Mo, 1 To HDD, GTX 1080 + GTX 980 histoire de dire, bref un pulvérisateur de mac pro!
Go to the top of the page
 
+Quote Post
raoulito
posté 16 Mar 2017, 19:06
Message #4


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 026
Inscrit : 24 Jan 2014
Lieu : Casablanca
Membre no 189 026



Citation (__otto__ @ 16 Mar 2017, 16:48) *
Firefox c'est 15,585,541 lignes de code...
15 Millions pour le kernel linux...


autant de lignes de codes dans firefox que dans le kernel linux ? huh.gif


--------------------
  • Du G3 blue&white 1999 1Go de Ram au macbook pro I5 13" 2011, avec 8 Go de ram et un SSD samsung 850 evo.
  • une fois mon vénérable iMac 24 pouces 2006 devenu une TV, bonjour au mac mini i5, SSD 256, 16go de ram.
Début sur Mac aux Beaux-Arts, en 1995, c'etait des LCII, ma première fois. Du coup j'ai foncé.. Sur Amiga 1200 avec Cartes d'extensions etc.. Haaaa que de souvenirs.. :P
Macbidouille? Je les suis depuis.. les tous débuts il me semble.
Et çà c'est mon bébé chéri: http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :)
Go to the top of the page
 
+Quote Post
atshoom
posté 16 Mar 2017, 22:49
Message #5


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 939
Inscrit : 20 Mar 2003
Membre no 6 760



Mais, y a pas des sandbox autour de programmes comme les browser en principe.

sleep.gif ?
Go to the top of the page
 
+Quote Post
downanotch
posté 17 Mar 2017, 09:19
Message #6


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 288
Inscrit : 11 Apr 2012
Membre no 175 864



Citation (atshoom @ 16 Mar 2017, 22:49) *
Mais, y a pas des sandbox autour de programmes comme les browser en principe.

C'est probablement pour cela que qu'il a fallu exploiter six failles pour compromettre la machine.
Go to the top of the page
 
+Quote Post
Ze Clubbeur
posté 17 Mar 2017, 13:57
Message #7


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 214
Inscrit : 29 Dec 2006
Lieu : Lyon
Membre no 76 813



Citation (raoulito @ 16 Mar 2017, 19:06) *
Citation (__otto__ @ 16 Mar 2017, 16:48) *
Firefox c'est 15,585,541 lignes de code...
15 Millions pour le kernel linux...


autant de lignes de codes dans firefox que dans le kernel linux ? huh.gif

J'aurais plutôt dit : Autant de lignes de codes dans firefox que dans Office ??

Citation (__otto__ @ 16 Mar 2017, 16:48) *
On considère que chez MS, il a un bug tout les 2000 lignes de code (ce qui est déjà très bon)...
Ça fait déjà beaucoup, non ? Pour des développeurs censés être "chevronnés"...


--------------------
L'ipod ne peut fonctionner qu'avec Itunes...
Itunes fonctionne bien mieux sous mac que sous windows...
C'est pourquoi j'ai installé Mac OS sur mon pc...

MacBook Pro Intel Core i7 2.3GHz Février 2011
Go to the top of the page
 
+Quote Post
johnwayne
posté 17 Mar 2017, 22:16
Message #8


Nouveau Membre


Groupe : Membres
Messages : 4
Inscrit : 19 Feb 2016
Membre no 198 124



Si j'ai bien compris, en profitant uniquement de plusieurs failles sur Safari ,ils arrivent a rentrer dans n'importe quel mac et contrôler la machine avec les mêmes droits qu'un compte administrateur ? Ils peuvent faire ça sans même une faute de l'utilisateur comme ouvrir un fichier inconnu contenant un worm ou trojan , installer des apps tipiak , se connecter à des réseaux inconnus sans aucune sécurité ou utiliser des passwords débiles etc.. ?
Comment peut on se protéger même partiellement contre ce type de hack ?

Go to the top of the page
 
+Quote Post
raoulito
posté 17 Mar 2017, 22:51
Message #9


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 026
Inscrit : 24 Jan 2014
Lieu : Casablanca
Membre no 189 026



Citation (johnwayne @ 17 Mar 2017, 22:16) *
Si j'ai bien compris, en profitant uniquement de plusieurs failles sur Safari ,ils arrivent a rentrer dans n'importe quel mac et contrôler la machine avec les mêmes droits qu'un compte administrateur ? Ils peuvent faire ça sans même une faute de l'utilisateur comme ouvrir un fichier inconnu contenant un worm ou trojan , installer des apps tipiak , se connecter à des réseaux inconnus sans aucune sécurité ou utiliser des passwords débiles etc.. ?
Comment peut on se protéger même partiellement contre ce type de hack ?


ben il faut passer par un site spécialement formaté donc là, on peut penser arnaque au pishing, sites "bizarres", etc...
Maintenant rassurez-vous, ca existe depuis les débuts d'internet biggrin.gif


--------------------
  • Du G3 blue&white 1999 1Go de Ram au macbook pro I5 13" 2011, avec 8 Go de ram et un SSD samsung 850 evo.
  • une fois mon vénérable iMac 24 pouces 2006 devenu une TV, bonjour au mac mini i5, SSD 256, 16go de ram.
Début sur Mac aux Beaux-Arts, en 1995, c'etait des LCII, ma première fois. Du coup j'ai foncé.. Sur Amiga 1200 avec Cartes d'extensions etc.. Haaaa que de souvenirs.. :P
Macbidouille? Je les suis depuis.. les tous débuts il me semble.
Et çà c'est mon bébé chéri: http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :)
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 26th July 2017 - 19:46