Анонимный тинейджер с русским студентом выбрались из гуглевской песочницы
dl // 10.03.12 12:10
В этом году Google решила не спонсировать очередной конкурс Pwn2Own, обнаружив, что правила позволяют участникам скрывать от производителей обнаруженные уязвимости.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/03/04.html]
Вместо этого был объявлен параллельный конкурс Pwnium, участники которого получали от 20 до 60 тысяч долларов в зависимости от серьезности найденной уязвимости, была ли это уязвимость в самом Chrome либо в стороннем плагине (в первую очередь Flash).
Первые 60 тысяч взял русский студент Сергей Глазунов, две уязвимости которого позволили обойти песочницу Chrome, в качестве демонстрации запустив калькулятор на атакуемой машине. Аналогичных результатов в рамках Pwn2Own добилась команда VUPEN, отказавшаяся открыть использованные уязвимости.
И незадолго до окончания конкурса некий "высокий тинейджер в майке, шортах и очках", пожелавший остаться анонимным и взявший псевдоним Pinkie Pie, представил свой комплект из трех уязвимостей, также позволивших выбраться из хромовской песочницы и выполнить произвольный код.
В рамках основного Pwn2Own лидерство захватила VUPEN, на следующий день после Chrome добравшаяся до IE9 и набравшая в сумме 123 очка. Команда Willem & Vincenzo продемонстрировала использование двух уязвимостей в FireFox, набрав 66 очков.
