A Pwn2Own idén is folytatta útját a felívelő pályán. A HP/ZDI és a Google által közösen rendezett megmérettetésen összesen 850.000 dollár jutalmat osztottak ki, és szép summát utaltak jótékony célra is.
Pwn4Fun
De persze a sérülékenység-piacon már jól megszokott viták sem maradtak el. Idén a Twitter flame fő gerjesztője a rendezők által a rendes esemény elé szervezett, Pwn4Fun névre keresztelt akció volt. Ennek keretében a szervezők munkatársai (akik a Pwn2Ownon nem vehetnek részt) játszhattak a rendes verseny szabályai szerint, a meghírdetett nyeremények feléért, melyet automatikusan a kanadai Vöröskeresztnek utaltak.
Sokan ezt a lépést egyszerű marketingfogásnak látják, melynek érdekében a koordinált nyilvánosságrahozatalt támogató szervezők saját elveiket/szabályaikat rúgják fel és a bugok visszatartásával a felhasználókat is veszélyeztetik.
A Vöröskereszt minden esetre jól járt: a résztvevők a Safari és az IE leütésével 85.000 dollárhoz segítették hozzá a segélyszervezetet.
Pwn2Own
A nyílt versenyen szokásosan tarolt a VUPEN, a franciák 11 exploitot értékesítettek összesen 400.000 dollár értékben, kijászva a Chrome, az Internet Explorer, a Firefox, az Adobe Reader és az Adobe Flash védelmét is. A böngészők közül egyébként a Firefox volt a legnépszerűbb célpont, a program felett GeoHot, Jüri Aedla és Mariusz Mlynski is sikerrel vette át az uralmat. A Safarira idén csak a kínai Keen Team és team509 mozdultak, szintén sikerrel - ők nyereményük egy részét malajziai jótékonysági szervezeteknek ajánlották fel. A legkeményebb célpontoknak számító Internet Explorert és Chrome-ot a VUPEN mellett a Sebastian Apelt - Andreas Schmidt páros illetve egy névtelen kutató is sikeresen pwnolta.
A kijelölt célpontok közül meglepő módon egyedül a Java maradt talpon, egy click-to-play átugrását igénylő exploit demonstrálásától a VUPEN végül visszalépett. A teljes eredménytábla itt tekinthető meg.
Az Unikornis díjat (EMET+böngésző snadbox kitörés, majd SYSTEM szintű kódfuttatás) végül nem vitték el, de ez szvsz. nem a feladat teljesíthetetlenségét, inkább annak életszerűtlenségét jelzi.
Az eredmények jól mutatják, hogy még a legmodernebb exploit mitigációs technikák sem elégségesek egy kellően felkészült támadó megállításához, és hogy a komplex renderelő motorok még mindig gazdag tárházát nyújtják a kihasználható sérülékenységeknek. A javítások (és remélhetőleg a writeupok is) remélhetőleg már utón vannak.