Предложив миллион долларов вознаграждения за найденные уязвимости в браузере Chrome, компания Google получила то, что хотела. В течение пяти минут после начала хакерского конкурса Pwn2Own французская команда Vupen Security сумела осуществить эксплойт двух уязвимостей Chrome и полностью взломать браузер. Таким образом, команда сделала серьёзную заявку на победу во всём конкурсе. Данный случай также демонстрирует, что используемая в Chrome песочница не является универсальным средством против любых атак.
По новым правилам Pwn2Own, демонстрация удачного эксплойта теперь не гарантирует победы в общем конкурсе, результат соревнования будет подсчитываться по очкам. За уязвимость 0day участник получает 32 очка. Дополнительно, 10, 9 или 8 очков начисляется за написание эксплойта к одной из двух уязвимостей, которые огласят перед началом соревнований. Количество очков зависит от того, в какой день конкурса был представлен эксплойт. Конкурс проходит в Ванкувере с 7 по 9 марта, три победителя получат денежные призы в размере $60 тыс., $30 тыс. и $15 тыс., соответственно.
Параллельно с Pwn2Own организовано отдельное состязание Pwnium, в котором компания Google сама выплачивает вознаграждение до $60 тыс. за найденные уязвимости. Буквально за час до начала Pwn2Own здесь отличился известный специалист по безопасности Сергей Глазунов, на счету которого уже не один десяток багов, найденных в Chrome и других продуктах Google. Обычно он получает за них стандартные выплаты от $1000 до $3000, но в этот раз российскому студенту причитается гораздо больше — шестьдесят тысяч долларов. Что ж, неплохая прибавка к стипендии.
Как сообщается, Сергей Глазунов сумел сделать удачный эксплойт, используя две новые уязвимости в Chrome, которые скоро будут закрыты через автообновление.
