Ved dette års Pwn2Own-konkurrence i Vancouver har deltagere klaret af hacke Microsofts Edge-browser ved at kombinere tre sårbarheder. Det udløser en præmie på 105.000 dollars til de heldige og dygtige udviklere.
Medlemmer af Qihoo 360-holdet brugte dels en ‘heap overflow’-fejl, en fejl i Windows’ kernel og en sårbarhed omkring bufferne i VMware.
‘We used a JavaScript engine bug within Microsoft Edge to achieve the code execution inside the Edge sandbox, and we used a Windows 10 kernel bug to escape from it and fully compromise the guest machine. Then we exploited a hardware simulation bug within VMware to escape from the guest operating system to the host one. All started from and only by a controlled a website,’ udtaler Qihoo 360’s direktør Zheng Zheng wrote til Arstechnica.
Dette understreger blot Pwn2Owns tema – at intet system er immunt overfor hackere, der virkeligt går i dybden for at kompromittere sikkerheden.