براساس گزارشهای منتشرشده، محققان امنیتی توانستند با نفوذ به مرورگر وب سافاری اپل و نرمافزارهای مجازیسازی VirtualBox اوراکل و VMware Workstation در اولین روز رویداد Pwn2Own 2019، در مجموع ۲۴۰هزار دلار پاداش دریافت کنند. در رویداد Pwn2Own 2019 که از تاریخ ۲۰ الی ۲۲ ماه مارس در ونکوور کانادا توسط واحد Zero Day Initiative (ZDI) شرکت امنیتی ترندمیکرو برگزار شد، بیش از یک میلیون دلار پاداش برای نفوذگران کلاهسفید در نظر گرفته شده است. علاوهبراین، برای اولین بار در تاریخ این رقابتها شرکتکنندگان میتوانند با نفوذ به اتومبیل تسلا مدل ۳، این اتومبیل را بههمراه ۳۰۰ هزار دلار بهعنوان پاداش دریافت کنند.
در اولین روز این رویداد، آمات کاما و ریچارد ژو از تیم امنیتی Fluoroacetate با بهرهبرداری از آسیبپذیری مرورگر سافاری ۵۵ هزار دلار بهدست آوردند. این آسیبپذیریها شامل یک سرریز عدد صحیح و یک سرریز پشته بود که به آنها اجازه میداد تا جعبهی شنی این مرورگر را دور بزنند. جالب توجه است که این نفوذگران کلاهسفید از یک فناوری جستجوی فراگیر برای این منظور استفاده کردند. علاوهبراین، این محققان با نفوذ به نرمافزار VirtualBox اوراکل، ۳۵ هزار دلار دیگر نیز دریافت کردند. آنها در تلاش دوم خود با بهرهبرداری از یک اشکال سرریز عدد صحیح و شرایط رقابتی، موفق به ارتقاء امتیاز و اجرای کد دلخواه شدند. آنها همچنین ۷۰هزار دلار برای نفوذ به دستگاه مجازیسازی VMware Workstation و اجرای کد بر روی سیستم عامل اصلی میزبان دریافت کردند. گروه امنیتی Fluoroacetate در روز اول این رویداد در مجموع مبلغ ۱۶۰هزار دلار بهدست آورد.
محقق دیگری از گروه امنیتی STAR Labs نیز ۳۵۵ هزار دلار برای نفوذ به نرمافزار VirtualBox اوراکل دریافت کرد. او توانست با بهرهبرداری از آسیبپذیری سرریز عدد صحیح که توسط گروه Fluoroacetate کشف شده بود، امتیازات خود را ارتقاء داده و کد دلخواه را بر روی میزبان اجرا کند. درنهایت، گروه phoenhex & qwerty برای بهرهبرداری از آسیبپذیری موجود در مرورگر سافاری اپل از طریق ارتقای کرنل، توانست ۴۵ هزار دلار بهدست آورد. این آسیبپذیریها شامل یک اشکال JIT، یک اشکال خواندن خارج از محدوده (OOB) هیپ و یک نقص TOCTOU بود که منجر به بازدید از یک وبسایت مخرب میشد. در روز دوم این رویداد، محققان تلاش کردند تا مرورگرهای موزیلا فایرفاکس و مایکروسافت اِج را مورد نفوذ قرار دهند. روز سوم نیز به نفوذ به تسلا اختصاص داده شده بود.
