Pwn2Own 2019では、Edge、Firefox、Safari、Teslaが落ちるため、誰も安全ではありません

成功： –フルオロ酢酸塩チームは、サンドボックスを回避するためにヒープオーバーフローを伴うJITのバグを使用しました。 そうすることで、彼らは$55,000と5MasterofPwnポイントを獲得します。

成功： –フルオロ酢酸ナトリウムチームは、整数のアンダーフローと競合状態で戻ってきて、仮想マシンをエスケープし、基盤となるOSで計算をポップしました。 彼らはさらに$35,000を獲得し、MasteronPwnに対して3ポイントを獲得しました。

成功： – アンダーデン Orcale VirtualBoxの整数アンダーフローを使用して、クライアントから基盤となるOSに移動します。 彼の最初のPwn2Ownで、彼は$35,000USDと3MasterofPwnポイントを獲得しました。

成功： –フルオロ酢酸ナトリウムのデュオは、競合状態を利用してVMwareクライアントに範囲外の書き込みを行い、ホストOSでコードを実行することで初日を終えました。 さらに$70,000とさらに7つのMasterofPwnポイントを獲得できます。

部分的な成功 phoenhex＆qwertyチームは、JITバグを使用し、続いてヒープOOB読み取りを行い、TOCTOUバグを介してルートからカーネルにピボットしました。 Appleはすでにバグの1つを知っていたので、これは部分的な勝利です。 彼らはまだ$45,000とMasterofPwnに向けて4ポイントを獲得しています。

成功： –フルオロ酢酸ナトリウムチームは、JITのバグと、Windowsカーネルでの範囲外の書き込みを使用して、$50,000と5MasterofPwnポイントを獲得しました。

成功： – Fluoroacetateチームは、Edgeでのタイプの混乱、カーネルでの競合状態、そして最後にVMwareでの範囲外の書き込みを使用して、仮想クライアントのブラウザーからホストOSでコードを実行しました。 彼らは$130,000と13のMasterofPwnポイントを獲得します。

成功： – NiklasはFirefoxでJITバグを使用し、続いてサンドボックスエスケープのロジックバグを使用しました。 デモンストレーションが成功したことで、彼は$40,000と4MasterofPwnポイントを獲得しました。

成功： – Pwn2Ownのデビューで、Arthurはレンダリングとロジックのバグでダブルフリーを使用してサンドボックスをバイパスしました。 その努力により、彼はマスターオブポーンに向けて$50,000と5ポイントを獲得しました。

引きこもった： – Team KunnaPwnチームは、自動車カテゴリーからのエントリーを取り下げました。

成功： –フルオロ酢酸塩デュオは、レンダラーのJITバグを使用して、35,000ドルとモデル3を獲得しました。

ハッカーはコンテストの過程で数十万ドルを稼いでいますが、最終的な目的は、悪意のある攻撃者が私たちに対してそれらを使用できるようになる前にこれらの脆弱性を閉鎖することですが、いくつの穴があっても心配し続けます企業はなんとかパッチを当てることができますが、ハッカーは来年も新しい脆弱性を取り戻すことができます。

イベントの詳細については、 ゼロデイイニシアチブのブログはこちら。