Браузеры Safari (Apple) и Internet Explorer (браузер) (Microsoft) пали под натисков хакеров, которые испытали свою удачу в день открытия Pwn2Own 9 марта.
Соревнование по взлому началось в 3:30 дня по Тихоокеанскому времени, немного позже, чем было запланировано на конференции по безопасности CanSecWest, которая проводится 9-11 марта в Ванкувере. Команда фирмы Vupen (сфера безопасности) из Франции ушла с $15 тыс и MacBook Air после применения эксплойта непропатченной уязвимости в Safari.
Этим же днем несколько ранее Apple обновила Safari до версии 5.0.4, исправив 62 уязвимости. Но Vupen все же взломала браузер. «Apple выпустила Safari 5.0.4 и IOS 4,3 за несколько минут до конкурса Pwn2Own, - заявила команда Vupen в среду, в Твиттере, за несколько часов до начала конкурса. – Удалены некоторые баги, но не все!»
HP TippingPoint, специализирующаяся на системах безопасности и спонсор Pwn2Own заявила, что последние обновления Safari могут повлиять на того, кто претендует на денежный приз.
Питер Врегденхил (Peter Vreugdenhil) из компании TippingPoint сообщил, что за две недели до этого браузеры были «заморожены» в тогдашних версиях Safari, Chrome 9 от Google, IE8 от Microsoft и Firefox 3,6 от Mozilla, чтобы обеспечить исследователям постоянство цели. «При разработке эксплойтов порой полагаются на определенные версии и по этой причине мы заблокировали проекты», - сказал Врегденхил.Елена Истомина, Directum: Как no-code меняет стоимость проекта 
Но патчи Safari остались частью игры в победе Vupen. Если бы уязвимость, использованная Vupen для взлома Safari, была оставлена в версии 5.0.4, TippingPoint не наградила бы ее призом в $15 тыс. Вместо этого деньги ушли бы первому исследователю, который использовал «замороженную» версию Safari - 5.0.3,установленную на MacBook Air с использованием ошибки, все еще присутствующей в нынешнем обновлении.
Впервые за четыре года Safari взломал не Чарли Миллер (Charlie Miller), аналитик консалтинговой группы по безопасности компании Independent Security Evaluators и соавтор книги The Mac Hackers Handbook. Миллер взламывал Safari в 2008, 2009, 2010 годах и побеждал в Pwn2Own.
IE8 от Microsoft также упал перед первым взломщиком - Стивен Фьюэ (Stephen Fewer), который занял первое место по взлому этого браузера. Фьюэ является основателем Harmony Security и часто сообщает об ошибках в программу TippingPoint - Zero Day Initiative.
Чтобы использовать IE8 в своих интересах, Фьюэ обошел защищенный режим (Protected Mode), сказал Аарон Портной (Aaron Portnoy), руководитель исследовательской группы безопасности компании TippingPoint и организатор Pwn2Own на протяжении пяти лет. Защищенный режим - обозначение технологии Microsoft, предназначенной для изоляции браузера от операционной системы и компьютера. Vupen, ожидавшая на подхвате, в случае если бы попытка Фьюэ не удалась, не получила шанс испытать удачу против IE8.
Инженеры подразделения Microsoft Security Response Center (MSRC), присутствующие на канадском конкурсе сообщили, что над этим уже работают: «Наши лучшие специалисты по безопасности уже исследуют эксплойт, использованный в конкурсе Pwn2Own», сообщила команда MSRC через Twitter. Ранее на этой неделе, Microsoft сказала, что не обновляет свой браузер, как это сделали Apple, Google и Mozilla за несколько дней до конкурса, потому что это было бы чересчур разрушительно для клиентов.
Как подчеркнул Джерри Брайант (Jerry Bryant), руководитель группы MSRC, об уязвимостях, использованных на Pwn2Own, TippingPoint сообщила вендорам и у них есть полгода на исправление недостатков, перед тем как TippingPoint предоставит общественности техническую информацию. Таким образом, невелика вероятность того, что злоумышленники смогут ими воспользоваться.
В интервью после мероприятия Портной сообщил, что испытание Firefox перенесли на четверг, а исследователи, которые ранее взялись овладеть браузером Chrome, либо еще не показали результаты, либо решили сосредоточиться на смартфоне компании RIM - BlackBerry.
Четыре смартфона будут подвергнуты атаке, сказал Портной. Это устройства под управлением IOS от Apple, Android от Google, Windows Phone 7 от Microsoft и BlackBerry OS от RIM. TippingPoint вручит награду в $ 15 тыс. за первый взлом каждого из смартфонов.
