Kontes Pwn2Own tahun ini berakhir setelah tiga hari meretas peramban dan sistem operasi. Pada akhirnya, browser Microsoft's Edge muncul sebagai pecundang setelah gagal menangkal serangan selama acara tersebut.

Sebuah tim dari perusahaan keamanan China Qihoo 360 mengeksploitasi Edge dan menghubungkan dua kelemahan keamanan bersama untuk melarikan diri dari host VMware Workstation. Tim menerima $ 105.000 sebagai hadiah karena menemukan kerentanannya. Zero Day Initiative, yang mensponsori kontes, mengatakan dalam sebuah posting blog:

Hari kami dimulai dengan orang-orang dari 360 Security (@ mj0011sec) mencoba melarikan diri mesin virtual penuh melalui Microsoft Edge. Dalam yang pertama untuk kompetisi Pwn2Own, mereka benar-benar berhasil dengan memanfaatkan kelebihan tumpukan di Microsoft Edge, jenis kebingungan di kernel Windows, dan buffer tidak diinisialisasi di VMware Workstation untuk melarikan diri dari mesin virtual lengkap. Tiga bug ini menghasilkan $ 105.000 dan 27 poin Master of Pwn. Mereka tidak akan mengatakan dengan tepat berapa lama penelitian itu berlangsung, tetapi demonstrasi kode hanya membutuhkan 90 detik.

Selanjutnya adalah Richard Zhu (fluoresensi) yang menargetkan Microsoft Edge dengan eskalasi tingkat SISTEM. Meskipun percobaan pertamanya gagal, upaya keduanya meningkatkan dua bug use-after-free (UAF) terpisah di Microsoft Edge dan kemudian meningkat ke SYSTEM menggunakan buffer overflow di kernel Windows. Ini mengumpulkannya $ 55.000 dan 14 poin terhadap Master of Pwn.

Tencent Security juga mendapat $ 100.000 untuk pelarian VMware Workstation kedua. ZDI menjelaskan:

Acara terakhir untuk hari itu dan kontes memiliki Tencent Security - Tim Sniper (Keen Lab dan PC Mgr) yang menargetkan VMWare Workstation (Tamu-ke-Tuan Rumah), dan acara tersebut tentu tidak berakhir dengan rengekan. Mereka menggunakan rantai tiga bug untuk memenangkan kategori Virtual Machine Escapes (Guest-to-Host) dengan eksploitasi VMWare Workstation. Ini melibatkan UAF Windows kernel, infoleak Workstation, dan buffer yang tidak diinisialisasi di Workstation untuk menjadi guest-to-host. Kategori ini meningkatkan kesulitan lebih jauh karena Alat VMware tidak diinstal pada tamu.

Meskipun kontes Pwn2Own tidak memiliki metode yang adil untuk menyerang setiap browser dengan ukuran yang sama, Microsoft jelas masih memiliki jalan panjang untuk meningkatkan keamanan Edge.