Une équipe chinoise hacke Safari 10.9 mais salue la sécurité de l'environnement

La Keen Team chinoise aime les paradoxes : cette équipe de chercheurs en sécurité, qui commence à faire bien parler d'elle - elle est parvenue à casser iOS 7.0.3 trois semaines après sa sortie, a réussi à hacker Safari sur Mavericks durant la compétition Pwn2Own, ce jeudi, exploitant avec succès deux failles pour y parvenir, empochant le prix de son exploit mais saluant la sécurité globale d'OS X.

L'exploit de ce jeudi cumule l'utilisation de deux failles, une première de dépassement mémoire - heap overflow - dans le WebKit permettant d'exécuter un processus arbitraire, puis une seconde, plus difficile à dénicher, pour réussir à sortir de la sandbox de Safari et exécuter le processus au niveau système. La première faille, estiment les hackers, sera aisée à boucher, la seconde sans doute plus délicate. Apple, en tout cas, était présente lors de la compétition et a pris bonne note. Il y a fort à parier que les chercheurs chinois seront crédités lors d'une prochaine mise à jour de sécurité pour leurs découvertes.

Liang Chen, membre de la Keen Team, est revenu sur la sécurité globale des environnements informatiques, jugeant malgré tout celle d'OS X supérieure aux autres. Pour Apple, le système d'exploitation est très sûr et utilise une excellente architecture de sécurité. Même lorsque vous trouvez une vulnérabilité, elle est difficile à exploiter. Aujourd'hui, nous avons montré qu'avec des techniques de pointe, on peut tout de même pwner le système. Mais globalement, la sécurité au sein d'OS X est meilleure que dans les autres environnements.

Source