Мероприятие Pwn2Own 2021 началось в начале этой недели и включало 23 отдельные попытки взлома 10 различных продуктов, включая веб-браузеры, виртуализацию, серверы и многое другое. Трехдневный марафон длился по несколько часов в день, и в этом году транслировался в прямом эфире на YouTube.
Продукты компании Apple не были сильно нацелены на Pwn2Own 2021, но в первый же день, исследователь безопасности Джек Датс (Jack Dates) от RET2 Systems выполнил эксплойт для Safari и заработал тем самым $100,000.
Congratulations Jack! Landing a 1-click Apple Safari to Kernel Zero-day at #Pwn2Own 2021 on behalf of RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs
— RET2 Systems (@ret2systems) April 6, 2021
Другие попытки взлома во время мероприятия Pwn2Own были направлены на Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome и Microsoft Edge.
Серьезный недостаток Zoom продемонстрировали, например, голландские исследователи Даан Койпер и Тийс Алкемаде. Дуэт использовал три уязвимости, чтобы получить полный контроль над компьютером жертвы с помощью приложения Zoom без взаимодействия с самим пользователем.
Полностью всё мероприятие доступно на YouTube-канале организаторов. Рекомендуем запасти побольше еды и кофе, так как вся запись заняла почти 10 часов.
