En Pwn2Own 2017 los navegadores web Microsoft Edge, Apple Safari, y Mozilla Firefox no se salvaron de ser vulnerados por los expertos en seguridad. Tampoco los sistemas operativos Microsoft Windows, Mac OS, y Ubuntu, ni las aplicaciones Adobe Flash y Reader, y VMware.
Pwn2Own es el concurso del CanSecWest, patrocinado por Zero Day Initiative de HP y Project Zero de Google. La edición 10 de Pwn2Own se ha realizado del 15 al 17 de marzo de este año, en Vancouver, Canadá. Participaron 11 equipos de todo el mundo para atacar la seguridad de los sistemas operativos y aplicaciones, aprovechando vulnerabilidades no publicadas.
El sistema operativo Mac OS fue vulnerado por Chaitin Security Research Lab, por cuyo acceso ganó 35 mil dólares. Mac OS también fue vulnerado por Gross Baumstark que pudo ejecutar código arbitrario como root y por lo cual obtuvo 28 mil dólares.
Vulnerabilidades en Adobe Reader y Windows permitieron el acceso a nivel del sistema. El equipo de 360 Security se ganó 50 mil dólares mientras que 25 mil dólares fueron ganados por el equipo chino Tecent, quien además se ganó 80 mil dólares más por romper la seguridad del navegador Microsoft Edge.
Este año se agregaron las categorías de Aplicaciones de Empresa y Elevación de Privilegios, blancos comunes para el malware y el ransomware. Se recibieron 14 vulnerabilidades diferentes en estas categorías.
Al finalizar Pwn2Own 2017 se pagaron en total 833 mil USD por fallos de seguridad encontrados y explotados exitosamente. Fueron 51 vulnerabilidades nuevas que fueron divulgadas a los respectivos fabricantes, que ya trabajan en su solución. Sin duda en breve empezaremos a ver las actualizaciones para corregir estos problemas.