Beveiligingsonderzoeker Manfred Paul heeft tijdens de Pwn2Own-westrijd in Vancouver zerodaylekken in Google Chrome, Microsoft Edge, Mozilla Firefox en Apple Safari gedemonstreerd, waarmee hij in totaal 202.500 dollar verdiende. Pwn2Own is een jaarlijks terugkerende wedstrijd die onderzoekers beloont voor het demonstreren van onbekende kwetsbaarheden in populaire producten. Gedemonstreerde beveiligingslekken worden vervolgens aan de betreffende leverancier gemeld, zodat die het probleem kan verhelpen.

Tijdens de eerste dag demonstreerde Paul een exploit die zowel tegen Chrome als Edge werkte. De aanval alleen is niet voldoende om willekeurige code op het onderliggende systeem uit te voeren. Dit is met de exploit van Paul alleen beperkt tot de browser. Dat geldt ook voor de Safari-aanval die de onderzoeker liet zien. Een aanvaller kan in dit geval nog wel bijvoorbeeld data uit geopende websites stelen.

In het geval van Firefox is het met de exploit die Paul op de tweede dag toonde wel mogelijk om systemen te compromitteren. Door middel van een out-of-bounds write en een 'function bug' lukte het de onderzoeker om willekeurige code uit te voeren en uit de sandbox van de browser te breken. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van besmette advertenties is al voldoende voor een aanvaller om misbruik van het lek te kunnen maken. Voor deze aanval ontving de onderzoeker 100.000 dollar. Details zijn met de browserleveranciers gedeeld, zodat die patches kunnen uitbrengen.