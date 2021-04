L’événement Pwn2Own 2021 est promu par l’initiative Zero Day comme un moyen d’encourager les développeurs et les chercheurs à signaler les vulnérabilités zero-day aux entreprises concernées au lieu de vendre ces violations à des pirates malveillants. Cette année, le chercheur en systèmes Jack Dates a été payé 100 000 $ après avoir découvert un nouvel exploit dans le navigateur Web Safari d’Apple.

Pour ceux qui ne connaissent pas le terme, un exploit zero-day est essentiellement une vulnérabilité récemment découverte dont le correctif est toujours inconnu des développeurs.

Dates a réussi à utiliser un débordement d’entier pour obtenir l’exécution de code au niveau du noyau via Safari pour Mac, ce qui signifie que l’exploit conduit à un accès complet au reste de l’ordinateur. La confirmation a été partagée sur Twitter avec un court GIF montrant l’exploit en action.

Confirmé! Jack Dates de RET2 Systems a utilisé un débordement d’entier dans Safari et une écriture OOB pour obtenir l’exécution du code du noyau. Il gagne 100 000 $ plus 10 points Master of Pwn pour commencer le concours du bon pied!