在Pwn2own的第一天攻击野生动物园,铬和闪光灯播放器,其中一些两次
安全研究人员在Apple Safari,谷歌Chrome和Flash Player中剥削了以前未知的漏洞,以危及年度PWN2WACKING比赛的第一天期间的OS X和Windows的最新版本。
周三,四支球队和一名研究员竞争他自己的六次尝试破解今年的目标:在OS X上运行的Safari,在Windows上运行的Chrome,在Windows上运行在Windows上的Microsoft Edge。四次尝试是成功的,一个人只是部分成功,一个失败。
来自中国互联网安全公司的360Vulcan团队Qihoo 360在Flash播放器中组合了一个远程代码执行漏洞,具有Windows内核中的漏洞以获得系统权限。对于这个壮举,他们收到了80,000美元的奖金,60,000美元,为Flash Player开采和20,000美元的系统级升级奖励。
在当天晚些时候,同一支球队展示了在Windows上针对Google Chrome的远程执行攻击,成员也设法升级到系统。对于该攻击,他们组合了四个漏洞:一个在Chrome中,两个在闪存中,一个在Windows内核中。
该袭击被认为只是一个部分胜利,因为铬缺陷以前由一个独立的研究人员向谷歌报告,没有团队的知识,所以它没有符合零点的资格。该团队仍然赢得52,500美元,使他们的第一天支付价格为132,500美元。
韩国研究员Junghoon Lee,以黑客为Lokihard而闻名的圈子,展示了对OS X上的Apple Safari的远程执行攻击,并升级到root权限。他还结合了四种漏洞,赚取了60,000美元的奖品。
今年,Safari利用以40,000美元的奖励得到奖励,而在Windows上的Chrome和Microsoft Edge的60,000美元。Windows和OS X都可以使用20,000美元的特权升级奖励。
值得注意的是,在去年的PWN2OWN版期间,Junghoon Lee是最成功的选手,带回225,000美元,近一半的总支出。
他仍然有时间来到今年的最高,因为他计划在星期四尝试反对Chrome和Microsoft Edge的攻击,比赛的第二天。与此同时,360Vulcan队,目前在领先地位,没有其他示威活动。
中国互联网巨头腾讯在比赛中有三支球队,其中一些子公司的成员。
在第一天,腾讯安全团队盾牌展示了针对Safari的攻击来实现根级代码执行。漏洞利用组合了两个漏洞,一个在野外游戏中,一个在另一个特权进程中,并获得了40,000美元的团队。
与此同时,腾讯安全团队狙击手展示了对窗户上的Flash Player攻击,这些攻击涉及到系统的特权升级,该小组收到了50,000美元。
宣武实验室第三个腾讯团队试图在微软边缘攻击Adobe Flash,但无法工作。
在第一天,安全研究人员赢得了282,500美元,披露了15个以前未知的漏洞。利润与来自零日倡议的竞争组织者共享,现在是趋势科技的一部分,并将向受影响的供应商报告。
今年,PWN2OWN比赛由趋势科技和惠普·帕特德企业赞助,总奖池约为600,000美元。