COMPTOIR
register

Pwn2Own 2018 : résultats du premier jour

Pwn2own est une compétition de sécurité dont les origines remontent à 2007, initialement développé par Dragos Ruiu afin de prouver les faiblesses en matière de sécurité d'OS X et sous le coup de la frustration devant l'absence de  réponse de la part d'Apple. Cet événement a depuis évolué et s'est étendu pour inclure tout type de systèmes et OS, toujours dans le but de révéler leurs vulnérabilités et faiblesses. Elle prend place chaque année lors de la conférence de sécurité CanSecWest à Vancouver, au Canada.

 

pwn2own logo competition

 

Les failles exploitées avec succès sont ensuite généralement rachetées auprès des individus/équipes victorieuses via le programme ZDI, Zero Day Initiative, puis transmises aux entreprises concernées. Au total, durant la première journée de la compétition, 162 000$ en récompense et 16 points pour le titre de Master of Pwn ont ainsi été généreusement distribués, le tout pour 2 tentatives avec succès, 1 succès partiel et un échec. 

 

Da hackeuuurZe cibleZe methode/techniquesuccess ?Ze récompense
Richard Zhu Apple Safari SandBox Espace Non

Bugs rachetés via le programme ZDI

classique

Richard Zhu Microsoft Edge

Windows Kernel EoP

exploitation des bugs use-after-free (UAF)

Débordement du kernel

Oui, après

3 tentatives

Récompensé avec

70 000$

et 7 points pour le titre de

Master of Pwn

Niklas Baumstark Oracle VirtualBox

Lecture Out-of-Bounds (OOB)

Time of Check-Time of Use

(toctou)

Succès partiel

27 000$

3 points pour le titre

Samuel Groß

Apple Safari

(via la touchbar)

macOS kernel EoP

JIT optimization bug de Safari

macOS logic bug

écrasement du kernel et exécution d'un code via une extension du kernel

Oui

65 000$

6 points pour le titre

 

 

À savoir que plusieurs participants se sont retirés de la compétition en dernière minute, parfois à cause de la publication de patchs de sécurité les jours précédents colmatant les brèches visées ou encore parce qu'ils n'ont pas eu le temps d'achever leur travail d'exploitations des failles à temps. ZDI n'a toutefois pas manqué de les contacter dans l'espoir d'acheter les bugs découverts. À tout de suite pour la deuxième et dernière partie !

 

Un poil avant ?

Un i9 hexacore mobile chez Intel ? GeekBench dit oui !

Un peu plus tard ...

Pwn2Own 2018 : résultats du second (et dernier) jour

Yapa de ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !