Discussion :

[Hinault Romaric]

Pwn2Own 2012 : Internet Explorer 9 tombe à son tour
face aux attaques des experts français de Vupen

Après avoir hacké le navigateur Chrome dès le premier jour de la compétition Pw2Own 2012 organisée pendant la conférence CanSecWest, les experts en sécurité de Vupen se sont attaqués à Internet Explorer.

Le navigateur de Microsoft a succombé le second jour de la compétition aux attaques des chercheurs en sécurité français. Ceux-ci ont exploité une paire de vulnérabilités jusqu’ici inconnues dans IE 9 pour prendre le contrôle d’une machine 64bits sous Windows 7 Service Pack 1.

La première vulnérabilité a permis de contourner les mécanismes de sécurité DEP (Data Execution Prevention) et ASLR (address space layout randomization) par l’exécution d’un code à distance.

La seconde faille se situe dans le mode protégé d’IE9 (sandbox) qui serait cependant un peu moins restrictif et possède plus de corruptions de mémoire que celui de Chrome. Cependant, selon Chaouki Bekrar, cofondateur de Vupen, la sécurité du navigateur devrait s’améliorer avec IE10.

Les chercheurs de Vupen se sont présentés cette année avec quatre attaques pour Chrome, Safari, Internet Explorer et Firefox. Les hacks de Chrome et IE 9 leur ont permis d’être en tête du concours avec un total de 124 points.



Source : Twitter Vupen

Et vous ?

Qu’en pensez-vous ?

[Invité]

cocorico