За первый день Pwn2Own взломали Safari, VMware и Virtual Box
Общая сумма призового фонда PWN2Own в 2019 году составляет 1 миллион долларов США. Впервые в истории конкурса участникам было предложено взломать Tesla model 3. При удачной попытке проникновение победитель получит 300 000 $.
Первый же день соревнований ознаменовался тем, что взлому поддались целых 3 популярных продукта, которыми стали: браузер Safari, VirtualBox и VMware. При этом, хакером уже удалось заработать 240 000$ за один лишь первый день конкурса. Амат Кама и Ричард Зу из команды Fluoroacetate заработали $55 000 за найденную уязвимость в Safari. Суть атаки состояла в переполнении буфера обмена браузера, с помощью чего происходил обход встроенной «песочницы». Для побега из песочницы был использован брутфорс, что весьма оригинально. Этим же участникам удалось со второй попытки взломать VirtualBox
Такой же успех обхода защиты VirtualBox продемонстрировали новички Pwn2Own из команды Star Labs, которые также использовали целочисленное переполнение в целях повышения статуса привилегий и выполнения произвольного кода на пораженном устройстве. За взлом Virtual Box он получили 35 000$.
Последним событием для стало то, что phoenhex & qwerty заработали $45 000 за эксплойт для Safari с возможностью повысить привилегии до уровня ядра. Правда компания Apple была уже в курсе данной уязвимости, как выяснилось немного позднее.