Le concours Pwn2Own 2021 lancé cette semaine a déjà vu plusieurs prix remportés pour les chercheurs en sécurité qui ont découvert des vulnérabilités sur des plates-formes telles que Windows et macOS.
L’événement de cette année est purement virtuel en raison du COVID-19, mais a déjà vu 23 tentatives de piratage distinctes sur 10 produits différents, y compris des navigateurs Web, des serveurs et des systèmes d’exploitation. Il n’y a pas de problèmes particuliers pour les produits Apple, à l’exception d’un exploit zero-day trouvé par Jack Dates de RET2 Systems sur Safari.
Grâce à cet exploit, le chercheur a remporté un prix en espèces de 100 000 $. Dates a utilisé un integer overflow dans Safari et une écriture OOB pour exécuter le code au niveau du noyau, comme indiqué dans le tweet ci-dessous :
Congratulations Jack! Landing a 1-click Apple Safari to Kernel Zero-day at #Pwn2Own 2021 on behalf of RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs
— RET2 Systems (@ret2systems) April 6, 2021
D’autres tentatives de piratage lors de l’événement Pwn2Own ont ciblé Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome et Microsoft Edge.
Une grave faille de Zoom a été découverte par les chercheurs néerlandais Daan Keuper et Thijs Alkemade. Le duo a exploité trois bugs pour obtenir le contrôle total d’un PC cible en utilisant l’application Zoom sans intervention de l’utilisateur. Les participants à Pwn2Own ont déjà reçu plus de 1,2 million de dollars de récompenses pour les bugs qu’ils ont découverts.
Pwn2Own donne aux entreprises comme Apple 90 jours pour publier un correctif pour les vulnérabilités découvertes avant que tous les détails ne soient partagés. Nous pouvons donc nous attendre à ce que le bug soit corrigé dans une prochaine mise à jour de macOS.
