France

Safari : bug de sécurité de 50 000 $ sur Pwn2Own 2022

La 15e édition du concours de démonstration de vulnérabilité Pwn2Own a eu lieu à Vancouver ce week-end. Du côté d’Apple, Safari était à blâmer.

17 hackers individuels ou en équipe étaient présents pour cette édition, avec 21 buts au programme. Systèmes et logiciels pour lesquels ils ont trouvé une faille de sécurité et dont ils ont dû démontrer pendant un temps limité. Les produits ciblés incluent Firefox, Teams, Ubuntu, VirtualBox, Windows 11 et même le système d’infodivertissement de Tesla (la voiture est là depuis 2019).

Paul Mandré à gauche

Safari était le seul logiciel bogué d’Apple – il n’y avait aucun autre logiciel Apple sur la liste – avec un bogue de corruption de mémoire. Il a permis à son découvreur, Paul Mandred, de récolter une somme nette de 50 000 dollars. La veille, il a gagné 100 000 € (93 000 €) grâce à deux bugs trouvés dans Firefox. La championne de cette édition, l’équipe Star Labs, a remporté 270 000 $ (253 000 €).

Les erreurs détectées sont signalées aux éditeurs, qui disposent déjà de 90 jours pour les rechercher et les corriger, après quoi elles seront publiées en détail.

Pwn2Own 2019 : deux failles de sécurité majeures dans Safari