В этом году конкурс Pwn2Own на хакерской конференции CanSecWest 2016 принёс традиционно неутешительный результат для операционных систем и браузеров. Участникам удалось успешно запустить эксплоиты для найденных уязвимостей в последних версиях Windows и OS X, в Adobe Flash, а также во всех трёх браузерах — Chrome, Edge и Safari. В общей сложности хакеры получили вознаграждений на сумму $460 000.
Firefox не приняли для участия в этом году, потому что в нём «не сделано серьёзных улучшений безопасности по сравнению с прошлым годом», пояснил Брайан Горенц (Brian Gorenc), менеджер подразделения Vulnerability Research в компании HPE, спонсора мероприятия, наряду с компанией TrendMicro.
Из всех браузеров меньше всех пострадал Google Chrome: его пытались взломать две команды, а успеха добилась только одна, да и ей не присудили максимальный выигрыш, потому что использованная уязвимость уже была известна разработчикам Google, то есть это не 0day.
Microsoft Edge вскрыли дважды, а Apple Safari — трижды.
По правилам конкурса, участники обязаны были разгласить найденные 0day-уязвимости организаторам и разработчикам. В OS X хакеры нашли 6 новых 0day-уязвимостей. В этой операционной системе традиционно находят больше всего багов.
В Windows со всеми патчами и активной защитой Enhanced Mitigation Experience Toolkit (EMET) показано 5 новых уязвимостей нулевого дня. В Adobe Flash — 4.
Интересно, что в этом году участники конкурса в каждом случае получили системный или рутовый доступ, в прошлые годы такого не было.
Организаторы опубликовали два видео, для каждого из дней соревнования, с подведением итогов и кратким описанием эксплоитов.
День 1
День 2
Все уязвимости будут закрыты в ближайших обновлениях безопасности Windows, OS X, Chrome, Edge и Safari.
