In Mozilla Firefox en Microsoft Edge zitten meerdere kwetsbaarheden waardoor aanvallers het onderliggende systeem volledig kunnen overnemen en beveiligingsupdates zijn nog niet beschikbaar. Dat hebben onderzoekers tijdens de tweede dag van de Pwn2Own-wedstrijd in Vancouver laten zien.

Op de eerste dag werden onbekende kwetsbaarheden in Apple Safari, Oracle VirtualBox en VMware Workstation gedemonstreerd. Pwn2Own is een jaarlijks terugkerend evenement van het Zero Day Initiative dat onderzoekers beloont voor het demonstreren van zerodayaanvallen tegen browsers en andere populaire software. Gedemonstreerde kwetsbaarheden worden met de betreffende softwareleverancier gedeeld, zodat die beveiligingsupdates kan ontwikkelen.

Tijdens de tweede dag van het evenement stonden alleen demonstraties tegen Edge en Firefox gepland. Beide browsers werden elk twee keer gehackt, waarbij alleen het bezoeken van een kwaadaardige website volstond om het onderliggende systeem over te nemen. De negen unieke kwetsbaarheden die hier in totaal voor werden gebruikt leverden de onderzoekers 270.000 dollar op. Wanneer Microsoft en Mozilla updates voor de gedemonstreerde kwetsbaarheden zullen uitbrengen is nog onbekend.

Vandaag is de laatste dag van Pwn2Own. Twee teams zullen proberen om een Tesla Model 3 op afstand over te nemen. Het team dat hier als eerste in slaagt krijgt naast een financiële beloning ook een Tesla Model 3. Gezien het resterende programma is er dit jaar geen poging geweest om Google Chrome te hacken. Naast browsers en de Tesla Model 3 konden onderzoekers er ook voor kiezen om aanvallen tegen Adobe Reader, Microsoft Office 365, Microsoft Outlook, Microsoft Hyper-V en Windows RDP te demonstreren, maar voor deze software ontving de organisatie geen inzendingen.