C’est de plus en plus Il est clair que la sécurité n’est qu’une illusion, car les pirates informatiques battent systématiquement même les systèmes d’exploitation et les plates-formes les plus sécurisés.
Le dernier rapport provient du concours de cybersécurité de la Tianfu Cup, qui a vu une grande variété d’appareils et d’applications violés. Les victimes incluent l’iPhone 13 Pro exécutant iOS 15.0.2 qui a été violé deux fois avec un exploit d’exécution de code à distance et un jailbreak iOS 15.
Microsoft ne pouvait pas se réjouir, car la société a vu 5 exploits réussis de Windows 10 et un pour Exchange, tandis que Google a vu deux exploits pour Chrome.
Les autres cibles concernées incluent Adobe PDF, le routeur Asus AX56U, Docker CE, Parallels VM, QEMA VM, Ubuntu 20, VMware ESXi et Workstation.
Les hackers chinois doivent montrer leur travail à la Tianfu Cup car ils ont été interdits de participer à des compétitions internationales telles que Pwn2Own. Certaines sources craignent que le gouvernement chinois ne stocke des hacks pour une future cyberguerre, car une nouvelle loi chinoise du 1er septembre 2021 oblige les citoyens chinois à divulguer au gouvernement toute vulnérabilité du jour zéro.
« Le gouvernement chinois pourrait stocker un nombre important de produits zero-day par rapport à des produits largement utilisés dans d’autres régions et avoir accès aux connaissances nécessaires pour exploiter ces produits avant qu’ils ne soient correctement corrigés », a déclaré Kristina Balaam, ingénieur senior en renseignement de sécurité chez Lookout.
« C’est l’équivalent cyber du survol d’avions au-dessus de Taïwan », a déclaré Sam Curry, responsable de la sécurité chez Cybereason.
Les piratages gagnants ont toutefois été divulgués aux fournisseurs concernés. Un porte-parole de Microsoft a déclaré à Forbes que « toutes les vulnérabilités signalées dans le cadre du concours sont divulguées de manière responsable et confidentielle. Les solutions aux problèmes de sécurité vérifiés qui répondent à nos critères de service immédiat sont normalement publiées via notre cadence mensuelle de mise à jour du mardi. » Google a déjà commencé à déployer des correctifs pour les vulnérabilités découvertes lors de l’événement du 16 au 17 octobre dans Chrome 95.0.4638.69, publié le 28 octobre 2021.
via Forbes
