Anche quest’anno ha avuto luogo il contest Pwn2Own nel corso della conferenza CanSecWest di Vancouver e, ancora una volta, i partecipanti hanno dimostrato che nessun browser garantisce una protezione adeguata durante la navigazione. Nei due giorni di gara sono caduti, uno dopo l’altro, Internet Explorer 11, Chrome, Firefox e Safari. Sotto i colpi degli hacker sono affondati anche Adobe Flash e Adobe Reader. Su un totale di 1.085.000 dollari sono stati assegnati 850.000 dollari, di cui ben 400.000 vinti dall’azienda francese VUPEN.
I premi maggiori (100.000 dollari) erano previsti per coloro che avrebbero sfruttato le vulnerabilità di Internet Explorer 11 e Chrome, probabilmente perché i due browser integrano tecnologie di sicurezza migliori di Firefox e Safari. Nonostante le ultime patch siano state rilasciate solo il giorno prima, VUPEN ha superato le difese di IE11 (ASLR e DEP), riuscendo ad eseguire codice arbitrario. Gli hacker francesi hanno poi bypassato la sandbox del browser Microsoft, sfruttando un bug di Adobe Flash, e la sandbox di Adobe Reader, incassando altri 150.000 dollari. Stessa sorte per Chrome (100.000 dollari) e Firefox (50.000 dollari).
Il browser Mozilla è stato il bersaglio di altri tre hacker, Mariusz Mlynski, Jüri Aedla e il famoso George Hotz. I bug scoperti in Firefox hanno permesso ad ognuno di loro di guadagnare 50.000 dollari. Safari, infine, non ha resistito all’attacco di Liang Chen, che ha quindi incassato 65.000 dollari. Anche gli sponsor dell’evento – Google e HP – hanno preso parte alla sfida. Google ha stupito i presenti con un exploit che sfrutta una vulnerabilità di Safari su Mac OS X, mentre HP ha superato la sandbox di Internet Explorer, riuscendo ad avviare ripetutamente la calcolatrice. In questi due casi, la vincita complessiva (82.500 dollari) è stata donata alla Croce Rossa canadese.
I dettagli su vulnerabilità ed exploit sono stati comunicati alle aziende che sviluppano i software “pwned”. Si spera quindi che le patch vengano rilasciate al più presto.