Tại cuộc thi hack Pwn2Own 2019 ở Vancouver, Canada, các chuyên gia bảo mật đã hack thành công hai trình duyệt Firefox và Microsoft Edge.
Đây là lần đầu tiên Firefox bị xâm nhập bằng cách khai thác lỗi JIT Bug và một bản ghi trong nhân Windows. Sau khi chuyển hướng Firefox truy cập vào một trang web lừa đảo, kỹ thuật này cho phép chạy mã ở cấp độ hệ thống và chiếm toàn bộ máy. Với thành tích này, hai nhà bảo mật là Amat Cama và Richard Zhu thuộc đội Fluoroacetate đều nhận được giải thưởng 50 ngàn USD.
Một chuyên gia khác có tên Niklas Baumstark cũng đã hack thành công trình duyệt Firefox với việc khai thác thiết bị sandbox, lỗi JIT bug và lỗi logic. Với kỹ thuật này, Baumstark đã chiếm được quyền điều khiển và kiểm soát máy tính như quản trị viên. Với màn trình diễn này Baumstark cũng nhận được khoản tiền thưởng 40 ngàn USD.
Ngoài ra, đội Fluoroacetate cũng đã tổ chức một cuộc tấn công phức tạp hơn, sử dụng máy ảo VMWare Workstation để khai thác lỗ hổng Microsoft Edge. Các chuyên gia bảo mật đã thực hiện các đoạn mã trên phần mềm giám sát máy ảo (hypervisor) và tấn công vào sâu nhân Windows nhằm phơi bày các lỗ hổng bên trong trình duyệt. Sau khi hack thành công Microsoft Edge, họ cũng đã nhận được giải thưởng 130 ngàn USD.
Các chuyên gia bảo mật của đội Fluoroacetate đang hack Microsoft Edge.
Microsoft Edge còn bị hack thành công bởi một chuyên gia khác có tên Arthur Gerkis thuộc đội Exodus Intelligence dựa trên lỗi logic, giúp người này có thể vượt mặt thiết bị sandbox. Màn trình diễn ấn tượng này của anh chàng đã nhận được 50 ngàn USD tiền thưởng.
Các lỗ hổng này của trình duyệt Mozilla Firefox và Microsoft Edge sẽ được gửi tới Mozilla và Microsoft để tiến hành vá trong các bản cập nhật tới.
Tại cuộc thi Pwn2Own Vancouver 2019, các chuyên gia bảo mật đã trình diễn 8 màn khai thác lỗ hổng và hack thành công trình duyệt Microsoft Edge, Safari, Firefox, máy ảo VMware Workstation và Virtualbox. Họ đã nhận được tổng giá trị giải thưởng lên tới 510 ngàn USD.