Το Pwn2Own Vancouver 2019, πραγματοποιήθηκε νωρίτερα αυτή την εβδομάδα, με συμμετέχοντες από όλο τον κόσμο. Φέτος μάλιστα ήταν η πρώτη φορά στην ιστορία του διαγωνισμού, που συμπεριλήφθηκε και μια κατηγορία αυτοκινήτων. Η εκδήλωση χρηματοδοτήθηκε από τη Microsoft, την VMware και την Tesla.

Η εκδήλωση διήρκεσε τρεις μέρες και οργανώθηκαν πολυάριθμες εκδηλώσεις, που αφορούσαν διάφορα λογισμικά και λειτουργικά συστήματα.

Safari

Η ομάδα Fluoroacetate (το δίδυμο των Amat Cama και Richard Zhu) μπόρεσε να εκμεταλλευτεί με επιτυχία τον browser της Apple. Η ομάδα παρέκαμψε τη λειτουργία sandbox, χρησιμοποιώντας integer overflow και heap overflow. Η τεχνική brute force, τους προσέφερε μία όμορφη ανταμοιβή $ 55.000.

Σε ένα άλλο event, η ομάδα phoenhex & qwerty «έριξε» το Safari με τη βοήθεια του kernel elevation. Προσπάθησαν να εκμεταλλευτούν ένα σφάλμα Time-of-Check-Time-of-Use (TOCTOU) και η ομάδα κέρδισε $ 45.000.

Mozilla Firefox

Η ομάδα Fluoroacetate στόχευσε επίσης τον web browser του Firefox, αξιοποιώντας ένα σφάλμα JIT και κατέληξαν να κερδίσουν $ 50.000.

Μια άλλη προσπάθεια εκμετάλλευσης του Firefox, έγινε από τον Niklas Baumstark, ο οποίος χρησιμοποίησε επίσης τα JIT και logic bug, για να ξεγελάσει το sandbox. Του απονεμήθηκε χρηματικό έπαθλο αξίας 40.000 δολαρίων.

Microsoft Edge

Σε περίπτωση που αναρωτιέστε, η Fluoroacetate δεν παραμέλησε το πρόγραμμα περιήγησης Edge της Microsoft. Άνοιξαν το Edge μέσω ενός VMWare workstation και χρησιμοποίησαν ένα exploit για να κατεβάσουν τον υποκείμενο Windows host. Αυτή η νίκη τους επέφερε ένα τεράστιο χρηματικό έπαθλο αξίας $ 130.000.

Το Edge έγινε στόχος και από τον Arthur Gerkis της Exodus Intelligence, ο οποίος χρησιμοποίησε ένα double free bug ακολουθούμενο από ένα logic bug, για να παρακάμψει το sandbox. Κέρδισε χρηματικό έπαθλο αξίας $ 50.000.

Tesla

Τελευταίο αλλά εξίσου σημαντικό, η Tesla έγινε ο απώτερος στόχος του παραγωγικού διδύμου του Fluoroacetate. Χάκαραν ένα μοντέλο Tesla 3, εκμεταλλευόμενοι ένα σφάλμα JIT και χρησιμοποίησαν το πρόγραμμα περιήγησης ιστού, για να εμφανίσουν ένα μήνυμά τους. Έλαβαν χρηματικά έπαθλα αξίας 35.000 δολαρίων, καθώς και το μοντέλο Tesla 3.

Αξίζει να σημειωθεί ότι η ομάδα Fluoroacetate κυριάρχησε και στο Pwn2Own Tokyo στο παρελθόν. Κατά τη διάρκεια των τριών ημερών, κέρδισαν $ 375.000 και τον τίτλο Master of Pwn για το 2019.

Όσον αφορά τα σφάλματα που παρουσιάστηκαν στην εκδήλωση, όλες οι λεπτομέρειες θα παρασχεθούν στις εταιρείες για να τις βοηθήσουν να εκδώσουν ανάλογα patches. Μετά από 90 ημέρες, οι λεπτομέρειες των σφαλμάτων θα δημοσιοποιηθούν.