Овогодишње такмичење Пвн2Овн завршено је након три дана хаковања прегледача и оперативних система. На крају, Мицрософт Едге претраживач појавио се као губитник након што није успео да спречи нападе током догађаја.
Тим кинеске заштитарске фирме Кихоо 360 искористио је Едге и повезао две сигурносне грешке како би побегао од домаћина ВМваре Воркстатион. Тим је добио 105.000 долара као награду за откривање рањивости. Иницијатива Зеро Даи, која је спонзорисала такмичење, рекла је у посту на блогу:
Наш дан је започео људима из 360 Сецурити (@ мј0011сец) који су покушали да у потпуности побегну из виртуелне машине кроз Мицрософт Едге. У првом за такмичење Пвн2Овн, апсолутно су успели користећи прелив гомиле у Мицрософт Едге, забуна типа у Виндовс језгру и неиницијализовани бафер у ВМваре Воркстатион за комплетну виртуелну машину бекство. Ове три грешке су им донеле 105.000 долара и 27 Мастер оф Пвн поена. Неће рећи тачно колико им је трајало истраживање, али за демонстрацију кода било је потребно само 90 секунди.
Следећи је био Рицхард Зху (флуоресценција) који је циљао Мицрософт Едге са ескалацијом на нивоу СИСТЕМА. Иако је његов први покушај пропао, његов други покушај искористио је две одвојене грешке без употребе (УАФ) у програму Мицрософт Едге, а затим је ескалирао у СИСТЕМ користећи прелив бафера у језгру Виндовс-а. Ово му је припало 55.000 долара и 14 поена према Мастер оф Пвн-у.
Тенцент Сецурити је такође добио 100.000 долара за друго бекство ВМваре Воркстатион. ЗДИ је објаснио:
Финални догађај и за тај дан и за такмичење имао је Тенцент Сецурити - Теам Снипер (Кеен Лаб и ПЦ Мгр) који циља ВМВаре радну станицу (гост хосту), а догађај се сигурно није завршио цвиљење. Користили су ланац од три грешке да би победили у категорији Виртуал Мацхине Есцапес (Гуест-то-Хост) помоћу ВМВаре Воркстатион екплоита. То је укључивало Виндовс језгро УАФ, пропуштање информација о радној станици и неиницијализовани бафер на радној станици за госта-хоста. Ова категорија је још више повећала потешкоће јер ВМваре Тоолс нису инсталирани у госту.
Иако такмичењу Пвн2Овн недостаје поштен метод за напад на сваки прегледач у једнакој мери, Мицрософт очигледно још увек мора да пређе дугачак пут да побољша безбедност Едге-а.
ПОВЕЗАНЕ ПРИЧЕ КОЈЕ ТРЕБА ДА ПРОВЕРИТЕ:
- Безбедносна упозорења Мицрософт Едге-а рањива на злоупотребу превара у вези са техничком подршком
- Фирефок и Цхроме не могу да се подударају са безбедносним стандардима Мицрософт Едге
- Мицрософт тврди да је Едге његов најсигурнији прегледач без досадашњих искустава
