תחרות ה- Pwn2Own השנה הסתכמה לאחר שלושה ימי פריצה לדפדפנים ומערכות הפעלה. בסופו של דבר, דפדפן Edge של מיקרוסופט התגלה כמפסיד לאחר שלא הצליח להדוף התקפות במהלך האירוע.

צוות של חברת האבטחה הסינית Qihoo 360 ניצל את Edge וקשר בין שני ליקויי אבטחה כדי לברוח ממארח ​​של VMware Workstation. הצוות קיבל 105, 000 דולר כפרס על גילוי הפגיעויות. יוזמת ה- Zero Day, שפרסמה את התחרות, אמרה בפוסט בבלוג:

היום שלנו התחיל עם אנשים מ- 360 Security (@ mj0011sec) שניסו לברוח מכונה וירטואלית מלאה דרך Microsoft Edge. ראשונה בתחרות Pwn2Own, הם הצליחו בהחלט למנף הצפת ערמה במיקרוסופט אדג ', בלבול מסוגי בגרעין Windows, וחיץ לא יזום בתחנת העבודה של VMware לצורך בריחה מוחלטת של מכונה וירטואלית. שלושת הבאגים הללו הרוויחו להם 105, 000 דולר ו -27 נקודות של Master of Pwn. הם לא יגידו בדיוק כמה זמן המחקר לקח להם, אבל הפגנת הקוד נדרשה רק 90 שניות.

הבא אחריו היה ריצ'רד ג'ו (פלואורסצנט) שמכוון למיקרוסופט אדג 'עם הסלמה ברמת SYSTEM. למרות שהניסיון הראשון שלו נכשל, הניסיון השני שלו מינוף שני באגים נפרדים ללא שימוש (UAF) ב- Microsoft Edge ואז הסלים ל- SYSTEM באמצעות הצפת מאגר בגרעין Windows. זה צבר לו 55, 000 $ ו -14 נקודות לעבר Master of Pwn.

Tencent Security קיבלה גם 100, 000 דולר עבור הבריחה השנייה של תחנת העבודה של VMware. ZDI הסביר:

באירוע הסופי של היום וגם בתחרות היה Tencent Security - צלף הצוות (Keen Lab ו- PC Mgr) שמכוון ל- VMWare Workstation (אורח-מארח), והאירוע בהחלט לא הסתיים ביבבה. הם השתמשו בשרשרת של שלושה באגים כדי לזכות בקטגוריית הימלטות של מכונות וירטואליות (אורח-לארח) עם ניצול תחנת עבודה של VMWare. זה כלל UAF של גרעינים של חלונות, אינפליקס של תחנת עבודה ומאגר לא מאתחל בתחנת העבודה כדי לעבור אורח לארח. קטגוריה זו שיפרה את הקושי עוד יותר מכיוון שכלי VMware לא הותקנו באורח.

למרות שתחרות Pwn2Own חסרה שיטה הוגנת לתקוף כל דפדפן במידה שווה, ברור שלמיקרוסופט עדיין יש דרך ארוכה לשפר את האבטחה של Edge.