Le deuxième jour du Pw2Own a eu lieu et a permis de découvrir de nouvelles failles de sécurité au sein de macOS et de Safari. Elles s’ajoutent à celles dévoilées hier.

L’équipe 360 Security a réussi à obtenir une élévation de privilèges sur macOS. L’équipe a gagné 10 000 dollars pour cet exploit. Elle ne s’est pas arrêtée là en réalité puisqu’elle a présenté un autre exploit, au niveau de Safari cette fois-ci. Les droits root ont été acquis ici, à savoir les droits qui permettent d’avoir un contrôle total de la machine (que ce soit un Mac ou autre). Pour cet exploit, 35 000 dollars ont été remportés.

Dans la foulée, Chaitin Security Research Lab s’est attaqué à macOS avec, là aussi, une élévation de privilèges. Le groupe a remporté 10 000 dollars. À l’inverse, Tencent Security – Sword Team a tenté une approche au niveau de macOS. L’équipe a réussi, mais l’exploit n’a pas été validé parce qu’Apple est déjà au courant de son existence.

Il est bon de rappeler que les failles présentées ici sont transmises à Apple qui pourra ainsi les corriger par la suite. Outre macOS et Safari, plusieurs systèmes d’exploitation et logiciels ont été crackés lors du Pw2Own 2017. Plusieurs failles ont été exploitées dans Windows notamment.