La 19e édition de la conférence CanSecWest, où on y retrouve le concours Pwn2Own, se tient actuellement à Vancouver au Canada et regroupe des chercheurs en sécurité qui montrent l’exploitation de failles de sécurité. Au cours de la première journée, deux failles ont été découvertes au niveau de Safari sur Mac.

Les chercheurs en sécurité Amat Cama et Richard Zhu ont réussi à échapper la sandbox de Safari en utilisant diverses techniques, dont la méthode brute force. Le fait d’échapper à la sandbox permet de réaliser des actions qui ne sont pas possibles en temps normal. L’exploitation des failles leur a permis de gagner 55 000 dollars.

Plus tard, le trio Niklas Baumstark, Luca Todesco et Bruno Keith s’est aussi attaqué au navigateur Internet d’Apple. Ils ont réussi à obtenir une élévation des privilèges sur le Mac afin de prendre le contrôle de macOS. L’exploit est de taille, mais ce ne fut pas une victoire totale pour les chercheurs parce qu’Apple était déjà au courant d’une des failles utilisées. Ils ont tout de même remporté 45 000 dollars.

Il est bon de préciser qu’Apple est averti des failles de sécurité découvertes lors du Pwn20wn et le fabricant va les corriger avec de futures mises à jour. Le discours est le même pour les failles découvertes chez les autres groupes. Au total, les chercheurs en sécurité ont remporté 240 000 dollars lors de la première journée du concours.