Каждый год в рамках конференции по безопасности CanSecWest проходит соревнование хакеров Pwn2Own, которое проводится организацией Zero Day Initiative. Целью данного мероприятия является выявление уязвимостей наиболее популярного программного обеспечения. Участники соревнования, сумевшие взломать тот или иной продукт, получают устройство, на котором им удалось это сделать и денежное вознаграждение.
В этом году конкурс проводился в Канаде при поддержке Microsoft и VMware, поэтому призовой фонд составил рекордные $2 млн. Тем не менее, хакерам удалось забрать всего $267 тыс., что в три раза меньше прошлогоднего «урожая». Причин этому несколько. Традиционно одни из сильнейших участников, представители Китая, вынуждены были отказаться от конкурса, поскольку их правительство выступило против разглашения информации об уязвимостях за рубежом. Кроме того, многие специалисты по взлому также снялись с конкурса. Как оказалось, они готовили использовать уязвимости, которые Microsoft устранила последними патчами.
Победителем соревнований стал Ричард Чжу (Richard Zhu). Он набрал 12 очков, заработав суммарно $120 тыс. и получил звание Master of Pwn. В первый день Чжу сумел взломать браузер Edge, применив несколько эксплоитов, а во второй день расправился с Firefox. Хороший результат показали хакеры из команды Phoenhex, которые взломали VirtualBox и Safari. Скомпрометировать браузер компании Apple удалось ещё двум специалистам, один из которых также предпринял успешную атаку против macOS.
В нынешнем соревновании никому не удалось взломать Chrome, vMware Workstation, Adobe Reader, MS Office 365 ProPlus, MS Outlook и другие программные продукты. В общей сложности было выявлено 5 уязвимостей у Apple, 4 – у Microsoft, 2 – у Oracle и 1 – у Mozilla.
