Une nouvelle vulnérabilité du navigateur, aussi appelé exploit Webkit, a été dévoilée par l'équipe Project Zero de Google. Une excellente nouvelle déjà par son arrivée totalement imprévue, mais surtout parce que cette vulnérabilité est présente sur tous les firmwares récents, à savoir sur PS4 même sur les firmwares 8.00 jusqu'au 10.01 inclus, et que sur PS5 du 1.00 au 6.50 inclus. Il s'agit donc là d'un exploit webkit majeur.
Bien entendu il est encore trop tôt pour savoir ce qu'il sera possible de faire avec ce nouvel exploit webkit, surtout sur PS5 à cause de l'hyperviseur, cependant sur PS4, cela pourrait ouvrir de nouvelles portes à un exploit kernel sur le dernier firmware 10.01.
Pour rappel, projet Zero de Google se concentre sur les vulnérabilités de type "Zero Day" sur de nombreux outils, moteur de navigation web, de tout support, et les consoles font parti de ce périmètre. L'exploit webkit n'est qu'une des nombreuses phases pour parvenir à un exploit complet, cependant il est un point d'entrée.
Cette nouvelle vulnérabilité a été divulguée par Project Zero le 13 Janvier 2023, et cible la fonctionnalité CSS dans le navigateur, avec un bug use-after-free, un candidat idéal.
Le rapport complet du bug se trouve ici :
https://bugs.chromiu.../detail?id=2362
Les preuves de fonctionnement se multiplient, mais il est certain désormais que cet exploit webkit fonctionne, et de manière stable.
Vous pouvez tester la vulnérabilité sur votre propre console (PS4 ou PS5) en allant sur l'adresse internet suivante : http://es7in1.site/test.html.
Si cette vulnérabilité est exploitable, nous sommes certains que de nombreuses personnes de talent vont se pencher dessus.
Pour information, cette CVE-2022-42867 a été reportée le 13 Décembre 2022, ce qui signifie que la réaction de Sony ne devrait pas trop tarder.
