Bu yılki Pwn2Own yarışması, tarayıcıları ve işletim sistemlerini hacklemekle geçen üç gün sonra sona erdi. Sonunda, Microsoft'un Edge tarayıcısı, etkinlik sırasında saldırıları engellemekten sonra kaybeden olarak ortaya çıktı.

Çinli güvenlik şirketi Qihoo 360'tan bir ekip Edge'den istifade etti ve bir VMware Workstation sunucusundan kaçmak için iki güvenlik hatasını birbirine bağladı. Ekip, güvenlik açıklarını tespit etmek için ödül olarak 105.000 $ aldı. Yarışmaya sponsorluk yapan Zero Day Initiative, bir blog yazısında şöyle dedi:

Günümüze 360 ​​Güvenlik'ten (@ mj0011sec) gelen kişiler, Microsoft Edge'den tam bir sanal makine kaçışını deneyen insanlarla başladı. Pwn2Own yarışmasında ilk olarak, Microsoft Edge'de bir yığın taşması, Windows çekirdeğinde bir tür karmaşası ve tam bir sanal makine kaçışı için başlatılmamış bir arabellek, VMware Workstation'da başlatılmamış bir tampondan yararlanarak başarılı oldular. Bu üç böcek 105.000 $ ve 27 Master of Pwn puanı kazandı. Araştırmanın ne kadar sürdüğünü tam olarak söylemeyecekler, ancak kod gösteriminin sadece 90 saniye sürmesi gerekiyordu.

Sırada, Microsoft Edge’i SİSTEM düzeyinde bir yükseliş ile hedefleyen Richard Zhu (floresan) vardı. İlk denemesi başarısız olmasına rağmen, ikinci denemesi Microsoft Edge'de iki ayrı ücretsiz kullanımdan sonra (UAF) böcek kullandı ve ardından Windows çekirdeğinde bir arabellek taşması kullanarak SYSTEM'e yükseltti. Bu ona Master of Pwn'a 55.000 $ ve 14 puan kazandırdı.

Tencent Security ayrıca ikinci VMware Workstation kaçışı için 100.000 dolar aldı. ZDI açıkladı:

Hem günün hem de yarışmanın son etkinliğinde VMWare İş İstasyonunu (Misafirten Sunuma) hedef alan Tencent Security - Team Sniper (Keen Lab ve PC Mgr) vardı ve bu etkinlik kesinlikle bir sızlanma ile bitmedi. Sanal Makine Kaçışları (Misafirten Host'a) kategorisini VMWare Workstation istismarından kazanmak için üç böcek zinciri kullandılar. Bu, bir Windows çekirdeği UAF'sini, bir İş İstasyonu tanıtılmamasını ve Konuk-sunucuya gitmek için İş İstasyonunda başlatılmamış bir arabellek içermekteydi. VMware Tools konuğa yüklenmediğinden, bu kategori zorluğu daha da artırdı.

Her ne kadar Pwn2Own yarışmasında her tarayıcıya eşit ölçüde saldırmak için adil bir yöntem bulunmamakla birlikte, Microsoft'un Edge'in güvenliğini arttırmak için hala çok uzun bir yolu var.