Pwn2own, le concours de hacker, a commencé hier. Les exploits proposés par les spécialistes de sécurité et hackers de talent n'ont pas tardé. Le navigateur Chrome s'est fait hacker en quelques minutes.
L'année dernière, Chrome 10 et sa sandbox s'étaient taillés une réputation de solidité… surtout dans l'art de l'esquive. Ainsi Google n'avait sorti Chrome 10 que quelques jours avant le concours, ce qui n'a bien sûr pas laissé le temps aux spécialistes de l'étudier.
Cette année, les choses sont toutes différentes. Non seulement Chrome a pu être étudié à tête reposée, mais Google, son éditeur, a lui-même fait monter les enchères en proposant des prix supplémentaires.
Le résultat ne s'est pas fait attendre. Quelques minutes après le début concours, des spécialistes en sécurité français de la société VUPEN, montraient deux exploits permettant de prendre le contrôle d'un Windows 7 64 bits via Chrome.
Les auteurs des exploits expliquent : “nous avons exploité deux vulnérabilités. La première permet de contourner DEP et ASLR sous Windows. La second permet de sortir de la sandbox de Chrome.“
Dans les deux cas, une page malicieuse chargée dans Chrome a ainsi permis de lancer la calculatrice du bureau (calc.exe)
Les experts de VUPEN ont déclaré avoir travailler 6 mois à l'identification des failles et à la mise au point du code pour les exploiter.
Comme quoi quand on laisse le temps aux spécialistes…