– Date : 19 Mars 2009

- Plateformes :
* Windows
* Mac OS X

- Description :
Lors de la conférence CanSecWest, au Canada, les plus grands experts et
chercheurs en sécurité informatique ont pu s’affronter lors d’un challenge
visant à compromettre un poste de travail via une nouvelle vulnérabilité
(0-day) d’un navigateur internet.

Les navigateurs internet suivants étaient disponibles : Internet Explorer
8, Firefox 3 et Google Chrome sur le système d’exploitation Windows Seven,
et les navigateurs Safari et Firefox sur la plateforme Mac OS X.

Le premier jour, ces navigateurs ne comportaient aucune extension
additionnelle, uniquement une installation d’origine. La seconde journée,
ces mêmes navigateurs étaient testés avec les extensions Flash, Java,
.NET, et Quicktime. Enfin, pour le dernier jour, les applications les plus
utilisées étaient installées telles que Acrobat Reader par exemple.

Pour la seconde année consécutive, Charlie Miller a réussi à pénétrer sur
un système Mac OS X entièrement à jour en exploitant une vulnérabilité du
navigateur Safari. Le simple fait d’avoir visité un site malicieux lui
permit de réalisé sa performance, et tout cela en quelques secondes.
Ce chercheur s’est donc vu récompenser des 10 000$ prévus et a informé
Apple de sa découverte. Aucun détail sur la vulnérabilité ne sera révélé
tant qu’un correctif ne sera pas disponible.

C’est ensuite au tour du chercheur Nils qui réussit à tirer parti d’une
vulnérabilité d’Internet Explorer 8 pour prendre le contrôle du nouveau
système d’exploitation de Microsoft, à savoir Windows Seven. Par la suite,
il réussit également à prendre le contrôle d’un système via la visite
d’une page malicieuse avec le navigateur Safari puis avec Firefox.

Les différents navigateurs internet ont été mené à rude épreuve durant ce
challenge.

- Référence :

http://cansecwest.com/post/2009-03-18-01:00:00.PWN2OWN_Final_Rules

- Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=1237460284