Max Home IndustryHewlett-Packard выплатила в общей сложности 850 тысяч долларов за взломы безопасности во время своего двухдневного мероприятия Pwn2Own, проведенного на CanSecWest 2014. Еще 150 тысяч долларов были вручены Google в конкурсе Pwniumn 4, который состоялся в первый день.
Хотя никто не пытался получить главный приз HP, получивший название Unicorn, который должен был использовать Internet Explorer 11, работающий в 64-битной операционной системе Windows 8.1, с запущенным Enhanced Mitigation Experience Toolkit (EMET), участники Pwn2Own дважды скомпрометировали IE.
В первый день (12 марта) французская исследовательская компания VUPEN применила метод use-after-free, вызывающий путаницу в объектах брокера, что привело к обходу песочницы; и во второй день (13 марта) Себастьян Апельт и Андреас Шмидт с двумя ошибками использования после освобождения и ошибкой ядра.
VUPEN становится доминирующим игроком четвертый год подряд, в первый же день победив Adobe Flash, Adobe Reader и Mozilla Firefox, заработав в общей сложности 300 тысяч долларов. VUPEN отказался от двух попыток использования уязвимостей — против Java в первый день и Apple Safari во второй день. Тем не менее, он взломал Google Chrome на второй день еще на 100 тысяч долларов, при этом использование после освобождения затронуло как Blink, так и WebKit вместе с обходом песочницы, что привело к выполнению кода.
Firefox был самым уязвимым браузером в конкурсе этого года: в общей сложности было четыре эксплойта, каждый из которых использовал разные методы, включая использование после освобождения, повышение привилегий и чтение и запись за пределами допустимого диапазона. На вопрос, почему Firefox привлек такое внимание, Сид Штамм, старший технический менеджер по безопасности и конфиденциальности Mozilla, сказал eWeek:
«Pwn2Own предлагает очень большие финансовые стимулы исследователям для выявления уязвимостей, и это, возможно, частично способствовало решению исследователей подождать до настоящего момента, чтобы поделиться своей работой и помочь защитить пользователей Firefox»
Фактически, эксплойты Firefox заработали меньше, чем любые другие, но вознаграждение в 50 тысяч долларов намного превышает 3 тысячи долларов, предлагаемых Mozilla в своей программе вознаграждения за ошибки.
Google выставил 2,7 миллиона долларов на предложение Pwnium 4 за обнаружение серьезных дыр в Chrome OS, но в итоге присудил только один главный приз в размере 150 000 долларов плюс HP Chromebook 11, хотя компания рассматривает возможность частичного зачисления второго исследователя.
В качестве прелюдии к конкурсу команды безопасности из Google и ZDI (инициатива нулевого дня) HP встретились лицом к лицу в Pwn4Fun, и каждая команда одержала победу в использовании недавно обнаруженных недостатков в Safari и IE. Призы (в общей сложности 82 500 долларов) были переданы Канадскому Красному Кресту.