Durante el Pwn2Own 2018, los hackers lograron romper la seguridad de Safari y Microsoft Edge en el primer día y Mozilla Firefox en el segundo día.
Pwn2Own forma parte del ZeroDayInitiative (ZDI) y su objetivo es resolver problemas de seguridad en pro de la compañía desarrolladora y de sus usuarios, y resolverlos antes de que supongan un riesgo para quienes utilizan el navegador web. Pwn2Own, está pensada precisamente para reunir a expertos en seguridad informática que encuentren tales tipos de vulnerabilidad y se las comuniquen de forma privada a las compañías desarrolladoras afectadas.
Productos como Oracle VirtualBox, VMware Workstation, Microsoft Hyper-V Client, Chrome, Safari, Edge, Firefox, Adobe Reader, Microsoft Office 365 ProPlus, Microsoft Outlook, NGINX, Apache Web Server, Microsoft Windows SMB y OpenSSL estaban disponibles para atacar, con el premio más alto de U$S250,000 para quien logre el escape del espacio aislado del hipervisor o kernel en el caso de Microsoft Hyper-V.
En la actualidad, cualquier tema relacionado con los navegadores web es importante, sobre todo cuando se trata de seguridad. En el primer día los investigadores se llevaron una recompensa de hasta 70.000 dólares y en la segunda jornada un fallo de seguridad en Firefox supueso 50.000 dólares de recompensa para quien lo ha encontrado.
El investigador Richard Zhu de la empresa Fluorescence se ha llevado 120.000 dólares en premios, por ejecutar un exploit de EoP (Windows kernel Elevation of Privilege) contra Firefox.
Tras estas demostraciones en el Pwn2Own, prácticamente todos los navegadores web van a tener que recibir próximamente una actualización. Los expertos en seguridad informática de Ret2 Systems, Nick Burnett, Patrick Biernat y Markus Gaasedelen, fueron los responsables de comprometer la seguridad del navegador en su cuarto intento a través de un EoP dispuesto en el núcleo del sistema macOS. Estos fallos encontrados serán corregidos también en una próxima actualización que Apple está preparando.
Al parecer en esta edición Google Chrome no ha sido vulnerado.