หลังจากการแข่งขันด้านความปลอดภัย Pwn2Own ประจำปี 2013 จบไปในวันแรก ผลปรากฎว่าทั้ง IE, Firefox และ Chrome ถูกแฮกเกอร์เจาะสำเร็จทั้งสามผลิตภัณฑ์ โดยรายละเอียดมีดังนี้
IE10 ที่ถูกติดตั้งบน Surface Pro ได้ถูกเจาะโดยทีม VUPEN ด้วยช่องโหว่จำนวนสองตัวซึ่งทำให้ผู้โจมตีสามารถเข้าถึงระบบรวมถึงข้ามผ่านการทำงานของ sandbox ได้ โดย VUPEN ได้รับเงินรางวัลจากช่องโหว่นี้เป็นจำนวน $100,000
สำหรับ Chrome ซึ่งเคยเป็นเบราว์เซอร์ที่ยังไม่มีใครสามารถเจาะได้ตลอดการแข่งขันเมื่อปีที่แล้วนั้น ในปีนี้กลับพลาดท่าให้กับช่องโหว่จากทีม MWR Labs โดยเวอร์ชันที่ถูกเจาะได้คือ Chrome 25 ซึ่งถูกแพตซ์เป็นเวอร์ชันล่าสุดบนระบบปฏิบัติการ Windows 7 โดยทาง MWR Labs ได้เผยเทคนิคว่า ทีมของเขาได้ใช้ช่องโหว่ซึ่งอยู่ในเคอร์เนลของ Windows 7 ควบคู่ไปกับช่องโหว่ของ Chrome ในการรันคำสั่งนอก sandbox โดยใช้สิทธิ์ของระบบ (ดูเพิ่มเติมได้ที่นี่)
ทีม VUPEN กลับมาผงาดอีกครั้งหลังจากประสบความสำเร็จในการใช้ช่องโหว่ used-after-free ร่วมกับการข้ามผ่านการทำงานของ ASLR/DEP ในการเจาะ Firefox โดยทาง VUPEN กล่าวว่าช่องโหว่ที่ช่วยให้พวกเขาสามารถข้ามผ่าน ASLR/DEP ได้นั้นยังคงเป็นช่องโหว่ทั่วไปซึ่งไม่ได้ใช้เทคนิคขั้นสูงอย่าง Return-oriented programming (ROP) ช่วยเลย ซึ่งช่องโหว่ทั้งหมดก็ได้รับการแจ้งให้กับผู้ผลิตเป็นที่เรียบร้อยแล้ว
อย่างที่เคยประกาศไว้ว่า Pwn2Own ของปีนี้จะเพิ่มการแข่งขันในการช่องโหว่ของปลั๊กอินบนเบราว์เซอร์ โดยผมขอสรุปผลการแข่งขันสั้นๆ ดังนี้คือ Java ถูกเจาะได้ทั้งจากทีม VUPEN, จาก Accuvant Labs และจากนักวิจัย James Forshaw โดย George Hotz แฮกเกอร์ที่เคยโด่งดังจากการแฮกผลิตภัณฑ์ต่างๆ ก็สามารถเจาะช่องโหว่ Adobe Reader XI ซึ่งเป็นปลั๊กอินบน IE9 ได้สำเร็จด้วย โดยในวันสุดท้ายก็มีผู้ประสบความสำเร็จในการเจาะ Adobe Flash Player ได้เช่นกัน
ที่มา - ZDNet, Help Net Security