Второй день соревнования Pwn2Own 2014 стал местом успешных попыток семи участников найти и воспользоваться уязвимостями в таких известных продуктах, как Chrome, Firefox, Flash и многие другие. Само событие проходило на конференции CanSecWest (Канада, Ванкувер). Как и полагается по традиции, на второй день проводятся атаки при помощи браузеров. За два дня участникам в сумме было выплачено около $ 850,000, не включая сюда средства на приобретение ноутбуков и других призов.
Pwn2Own - конкурс для компьютерных хакеров, ежегодно проводящийся на конференции CanSecWest, посвященной безопасности. Цель конкурса - выявление и демонстрация серьезных уязвимостей программного обеспечения, что позволяет производителям о время устранять неполадки и закрывать "дыры".
На конкурсе Pwn2Own в четверг были представлены следующие уязвимости:
- Анонимным участником представлена ошибка чтения и записи с песочницы в процессе выполнения кода в Google Chrome. По результатам рассмотрения, судьи заявили, что часть презентации совпадает с ранее представленной на Pwnium, поэтому презентация успешна только на половину и аноним получит только $ 60,000.
- Себастьян Апельт и Андре Шмидт представили несколько ошибок в Internet Explorer, которые отражаются на работе системного калькулятора.
- Джордж Хотц обнаружил уязвимость в Mozilla Firefox, связанную с ошибкой чтения/записи. Получили ребята в качестве награды за находчивость $ 100,100.
- Лучшим представлением уязвимостей отличилась команда VUPEN, которой удалось отличиться аж пятью успешными атаками. Для одной из атак была использована уязвимость в движке Blink, которая позволила обойти ограничения sandbox. Отметим, что благодаря результатам соревнования компания Google закрыла сразу несколько уязвимостей, выпустив обновление Google Chrome.
Также был организован конкурс PWN4FUN, в процессе которого хакеры выявили критические ошибки безопасности, которые позволяли получить права root в OS X. После выявления уязвимостей в Safari и IE, основатели конкурса сообщили об ошибках Apple и Microsoft, чтобы последние срочно устранили ошибки.