Recherche
Dernières actualités
- ADSL - La Bbox est un modem Thomson !
- France télécom baisse les tarifs de gros IP/ADSL
- Numericable lance une e-petition en faveur du Très haut Débit
- Mobistar reporte le lancement de l'iPhone 3G
- Google écrase un peu plus ces concurrents
- Microsoft acquiert un moteur de recherche sémantique
- Yahoo! reprend les discussions avec AOL
- Orange TV par satellite est lancé !
- ADSL TV - Free etoffe son offre HD
- Firefox est dans le Guinness des records avec plus de 8 millions de chargements
Promotions en cours
Les Box
Partenaires
En ligne
17 visiteur(s) - 0 membre(s) :
Sécurité : test de résistance des OS
Publié par Infested Grunt dans la catégorie Actualité/Logiciels le 31/03/2008Lu 963 fois - 0 commentaire
Le PWN2OWN 2008 a mis en jeu 3 ordinateurs que les participants devaient pirater : un MacBook Air, un Fujitsu U810 sous Windows Vista SP1 et un Sony VAIO sous Ubuntu 7.10.Le principe du concours est simple : il faut pirater un ordinateur pour l'obtenir et gagner 5000$ avant la fin du concours, soit 3 jours. Les organisateurs ont posé certaines conditions : chaque jour donne accès à un moyen d'utiliser l'ordinateur. Les ordinateurs à pirater sont partagés sur un réseau et les pirates ont leur adresse IP.
Le premier jour : les participants n'ont accès qu'au système, c'est-à-dire qu'ils ne peuvent exploiter que des failles du système. Les trois OS tiennent la route.
Le second jour : les participants peuvent utiliser les logiciels préinstallés avec le système (par exemple, les naviagteurs par défaut: Internet Explorer 7 pour Vista, Konqueror pour Ubuntu ou Safari pour Mac OS). Et là, le MacBook Air tombe en 2 heures. Charlie Miller, connu pour avoir percé certaines protections de l'iPhone d'Apple, fait tomber Mac OS X grâce à une faille dans le navigateur Safari. Le moteur de rendu, le WebKit, utilise la librairie libre PCRE pour manipuler des expressions régulières utilisables par le langage Perl. Cette librairie est actuellement affectée d'une faille qui permet un dépassement de mémoire tampon. Windows Vista et Ubuntu tiennent encore le choc.
Troisième jour : les participants sont autorisés à utiliser des logiciels populaires (comme Adobe Reader, OpenOffice, Microsoft Office, VLC ou Windows Media Player). Windows Vista ne tient pas non plus : une faille dans Adobe Flash Player a permis de passer la sécurité de Microsoft autour d'Internet Explorer. Par contre, contrairement à la faille de Safari qui était connue, il s'agit d'une faille "0-days", c'est-à-dire que la faille a été découverte à ce moment-là.
Au bout des 3 jours, seule la distribution Ubuntu est resté inviolée. Les caractéristiques des 2 failles, tenues secrètes pour éviter que des Black Hackers n'en profitent, ont été expédiées aux personnes concernées (PCRE, Apple et Adobe)
Les systèmes n'en restent pas moins sûrs car les failles découvertes par les participants sont dues à des applications tierces et multiplateformes. La faille de Safari concerne le WebKit et la librairie PCRE, or le WebKit est utilisé par KDE pour Konqueror et la librairie PCRE est utilisée par Gnome. Concernant la faille de Flash, il faut se rappeler que Flash Player est utilisé comme plug-in dans tous les navigateurs (Internet Explorer, Safari, Firefox, Konqueror, Opera, Flock, Camino,...). L'une et l'autre de ces failles ne peuvent être exploitables qu'avec une page Web et un script Flash spécialement conçu.
Le meilleur vecteur de ces failles reste ce qui se tient entre le clavier/souris/écran et la chaise.
Le premier jour : les participants n'ont accès qu'au système, c'est-à-dire qu'ils ne peuvent exploiter que des failles du système. Les trois OS tiennent la route.
Le second jour : les participants peuvent utiliser les logiciels préinstallés avec le système (par exemple, les naviagteurs par défaut: Internet Explorer 7 pour Vista, Konqueror pour Ubuntu ou Safari pour Mac OS). Et là, le MacBook Air tombe en 2 heures. Charlie Miller, connu pour avoir percé certaines protections de l'iPhone d'Apple, fait tomber Mac OS X grâce à une faille dans le navigateur Safari. Le moteur de rendu, le WebKit, utilise la librairie libre PCRE pour manipuler des expressions régulières utilisables par le langage Perl. Cette librairie est actuellement affectée d'une faille qui permet un dépassement de mémoire tampon. Windows Vista et Ubuntu tiennent encore le choc.
Troisième jour : les participants sont autorisés à utiliser des logiciels populaires (comme Adobe Reader, OpenOffice, Microsoft Office, VLC ou Windows Media Player). Windows Vista ne tient pas non plus : une faille dans Adobe Flash Player a permis de passer la sécurité de Microsoft autour d'Internet Explorer. Par contre, contrairement à la faille de Safari qui était connue, il s'agit d'une faille "0-days", c'est-à-dire que la faille a été découverte à ce moment-là.
Au bout des 3 jours, seule la distribution Ubuntu est resté inviolée. Les caractéristiques des 2 failles, tenues secrètes pour éviter que des Black Hackers n'en profitent, ont été expédiées aux personnes concernées (PCRE, Apple et Adobe)
Les systèmes n'en restent pas moins sûrs car les failles découvertes par les participants sont dues à des applications tierces et multiplateformes. La faille de Safari concerne le WebKit et la librairie PCRE, or le WebKit est utilisé par KDE pour Konqueror et la librairie PCRE est utilisée par Gnome. Concernant la faille de Flash, il faut se rappeler que Flash Player est utilisé comme plug-in dans tous les navigateurs (Internet Explorer, Safari, Firefox, Konqueror, Opera, Flock, Camino,...). L'une et l'autre de ces failles ne peuvent être exploitables qu'avec une page Web et un script Flash spécialement conçu.
Le meilleur vecteur de ces failles reste ce qui se tient entre le clavier/souris/écran et la chaise.
4.673 votes
Propulsé par Artiphp 4 XXL © 2004-2008 Echosdunet