Результаты Pwn2Own 2016: взломаны Windows, OS X, Chrome, Edge и Safari

В этом году конкурс Pwn2Own на хакерской конференции CanSecWest 2016 ^[1] принёс традиционно неутешительный результат для операционных систем и браузеров. Участникам удалось успешно запустить эксплоиты для найденных уязвимостей в последних версиях Windows и OS X, в Adobe Flash, а также во всех трёх браузерах — Chrome, Edge и Safari. В общей сложности хакеры получили вознаграждений на сумму $460 000.

Firefox не приняли для участия в этом году, потому что в нём «не сделано серьёзных улучшений безопасности по сравнению с прошлым годом», пояснил ^[2] Брайан Горенц (Brian Gorenc), менеджер подразделения Vulnerability Research в компании HPE, спонсора мероприятия, наряду с компанией TrendMicro.

Из всех браузеров меньше всех пострадал Google Chrome: его пытались взломать две команды, а успеха добилась только одна, да и ей не присудили максимальный выигрыш, потому что использованная уязвимость уже была известна разработчикам Google, то есть это не 0day.

Microsoft Edge вскрыли дважды, а Apple Safari — трижды.

По правилам конкурса ^[3], участники обязаны были разгласить найденные 0day-уязвимости организаторам и разработчикам. В OS X хакеры нашли 6 новых 0day-уязвимостей. В этой операционной системе традиционно находят больше всего багов.

В Windows со всеми патчами и активной защитой Enhanced Mitigation Experience Toolkit (EMET) показано 5 новых уязвимостей нулевого дня. В Adobe Flash — 4.

Интересно, что в этом году участники конкурса в каждом случае получили системный или рутовый доступ, в прошлые годы такого не было.

Организаторы опубликовали два видео, для каждого из дней соревнования, с подведением итогов и кратким описанием эксплоитов.

День 1

День 2

Все уязвимости будут закрыты в ближайших обновлениях безопасности Windows, OS X, Chrome, Edge и Safari.

Автор: alizar

Источник ^[4]