Un chercheur en sécurité gagne 100 000 $ pour Safari Exploit dans le concours de piratage Pwn2Own

Chaque année, Zero Day Initiative organise un concours de piratage « Pwn2Own » où les chercheurs en sécurité peuvent gagner de l'argent en trouvant de graves vulnérabilités dans les principales plates-formes telles que Windows et macOS.

Cet événement virtuel Pwn2Own 2021 a débuté plus tôt cette semaine et a présenté 23 tentatives de piratage distinctes sur 10 produits différents, notamment des navigateurs Web, la virtualisation, des serveurs, etc. Une affaire de trois jours qui s'étend sur plusieurs heures par jour, l'événement Pwn2Own de cette année a été diffusé en direct sur YouTube.

Les produits Apple n'étaient pas fortement ciblés dans Pwn2Own 2021, mais le premier jour, Jack Dates de RET2 Systems a exécuté un exploit Safari to kernel et a gagné 100 000 $. Il a utilisé un débordement d'entier dans Safari et une écriture OOB pour obtenir l'exécution du code au niveau du noyau, comme le montre le tweet ci-dessous.

Félicitations Jacques ! Atterrissage d'un Apple Safari en 1 clic vers Kernel Zero-day à # Pwn2Own 2021 pour le compte de RET2 : https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs - Systèmes RET2 (@ret2systems) 6 avril 2021

Une grave faille de Zoom a été démontrée par les chercheurs néerlandais Daan Keuper et Thijs Alkemade, par exemple. Le duo a exploité un trio de défauts pour obtenir le contrôle total d'un PC cible à l'aide de l'application Zoom sans interaction de l'utilisateur.

Nous confirmons encore les détails de la #Zoom exploit avec Daan et Thijs, mais voici un meilleur gif du bug en action. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW – Initiative Zero Day (@thezdi) 7 avril 2021