Первый день Pwn2Own прошел в online-режиме из-за коронавируса

Популярные хакерские соревнования Pwn2Own обычно проходят в рамках конференции CanSecWest в Ванкувере (Канада), и участники должны принимать участие в них лично. Однако в связи с пандемией коронавируса организатор мероприятия Zero Day Initiative (ZDI) принял решение впервые за всю историю Pwn2Own провести соревнования в режиме online.

Первый день Pwn2Own прошел в среду, 18 марта. Команде Georgia Tech Systems Software & Security Lab удалось успешно выполнить код на macOS через уязвимости в браузере Safari и заработать $70 тыс. Разработанная командой атака включала вызов калькулятора в Safari и повышение привилегий до суперпользователя путем эксплуатации шести уязвимостей.

Участник команды RedRocket CTF Манфред Пол (Manfred Paul) получил $30 тыс. за эксплуатацию уязвимости локального повышения привилегий в Ubuntu Desktop, существующую из-за недостаточной проверки входных данных.

Легендарная команда Fluoroacetate в составе Амата Камы (Amat Cama) и Ричарда Чжу (Richard Zhu) заработала $40 тыс. за эксплуатацию уязвимости локального повышения привилегий в Windows 10. За еще одну подобную уязвимость Чжу получил еще $40 тыс.