На Pwn2Own були успішно зламані Chrome, Firefox, IE 10, Windows 8 і Java

Перший день щорічних змагань Pwn2Own, в рамках конференції CanSecWes, виявився як ніколи плідний — були продемонстровані робочі техніки експлуатації раніше невідомих вразливостей в Chrome, Firefox, IE 10, Windows 8 і Java. У всіх випадках атака була здійснена при обробці в браузері спеціально оформленої web-сторінки, відкриття якої завершилося отриманням повного контролю над системою. При демонстрації атаки використовувалися найсвіжіші стабільні випуски браузерів і операційних систем Windows 7, Windows 8 і Mac OS X Mountain Lion з усіма доступними оновленнями в конфігурації за замовчуванням.

Відповідно до умов конкурсу, детальна інформація про всі продемонстровані 0-day вразливості буде опублікована тільки після випуску виробниками оновлень з усуненням зазначених вразливостей. Частково успіх Pwn2Own в цьому році пов'язаний з істотним збільшенням суми винагороди. Наприклад, за демонстрацію злому браузера Chrome буде виплачено винагороду в 100 тисяч доларів, за злом IE — 75 тисяч доларів, за злом Firefox — 60 тисяч доларів, за злом Safari — 65 тисяч доларів, за злом IE через додаток Adobe Reader XI — 70 тисяч доларів, за злом Adobe Flash і Java по 20 тисяч доларів. Одночасно буде проведено суміжне змагання Pwnium, на якому буде запропоновано зламати Chrome OS на пристрої Samsung Series 5550 Chromebook. Загальний призовий фонд Pwnium складе 3.14159 млн доларів, а сума максимальної винагороди — 150 тисяч доларів.

На першому дні конкурсу не був зламаний браузер Safari в оточенні Mac OS X, ймовірно учасники конкурсу приберегли робочі методи атаки для наступного дня, на якому за злом Safari в iOS призначено істотно більш високу винагороду.

via