Le développeur Sleirsgoevy revient sur le devant de la scène PlayStation 4 en proposant une preuve de concept pour la vulnérabilité FontFaceSet.
Selon Sleirsgoevy, cette vulnérabilité FontFaceSet a été classée à tord comme fonctionnelle sur la PlayStation 4, et notamment comme "use-after-free" car elle ne fonctionne directement que sur PC pour le moment.
Il propose donc un PoC et il demande si sur le firmware 9.00 elle débouche sur une erreur "failed to guess...". Il doit encore être porté sur PS4, donc le code n'est pas directement utilisable en l'état.
Le PoC de cette vulnérabilité est hébergée temporairement ici : http://vdsina.sleirs...dynv6.net:8081/
Du reste, il faut encore que l'exploit webkit complet soit réalisé, pour le moment, il s'agit d'un PoC et si Sleirsgoevy le diffuse c'est qu'il doit certainement se heurter à des difficultées. Mais cela va dans le bon sens, si cette faille peut être utilisable sur PS4, il faudra ensuite encore trouver et jumeler cela avec un exploit kernel, ce qui est beaucoup moins évident. L'idée pourrait être aussi d'améliorer la stabilité de l'exploit sur le firmware 7.55 qui est le plus récent à disposer d'un exploit kernel.
Cette diffusion de Sleirsgoevy de ce Poc redonne tout de même de l'espoir sur un éventuel exploit sur un firmware plus récent, cette vulnérabilité FontFaceSet relançant l'intérêt de la scène.
Tout est là : https://twitter.com/sleirsgoevy
