نفوذگران کلاهسفید در روز دوم رویداد Pwn2Own 2019 با نفوذ به مرورگرهای وب موزیلا فایرفاکس و مایکروسافت اِج، در مجموع ۲۷۰هزار دلار بهدست آوردند. آمات کاما و ریچارد ژو از گروه امنیتی Fluoroacetate با بهرهبرداری از آسیبپذیریهای JIT و نوشتن خارج از محدودهی موجود در مرورگر فایرفاکس از طریق ارتقای کرنل ویندوز، ۵۰هزار دلار پاداش دریافت کردند. به گزارش واحد Zero Day Initiative (ZDI) شرکت امنیتی ترندمیکرو بهعنوان برگزارکنندهی اصلی این رویداد، این گروه توانست تنها با بازدید از یک وبسایت طراحیشده با استفاده از مرورگر فایرفاکس، کد دلخواه خود را در سطح سیستم اجرا کند.
این گروه همچنین توانست با نفوذ به مرورگر اِج از طریق ارتقای کرنل و دور زدن ماشین مجازی (VM)، ۱۳۰هزار دلار دیگر را نیز بهدست آورد. آسیبپذیریهای موجود در این مرورگر شامل اشکال اغتشاش در نوع، یک نقص شرایط رقابتی در کرنل و یک آسیبپذیری نوشتن خارج از محدوده در نرمافزار VMware Workstation بودند. این آسیبپذیریها در مجموع به مهاجم اجازه میدادند تا از یک مرورگر وب در حال اجرا بر روی یک ماشین مجازی برای اجرای کد دلخواه در سیستم عامل میزبان استفاده نماید.
علاوهبراین، در دومین روز از رویداد Pwn2Own 2019، نیکلاس بامستاک توانست با بهرهبرداری از یک اشکال JIT و یک نقص منطقی (logic) در مرورگر فایرفاکس، ۴۰هزار دلار بهدست آورد. به گفتهی واحد ZDI، مهاجم میتوانست با بهرهبرداری از این آسیبپذیریها، کد دلخواه خود را بر روی سیستم هدف اجرا کرده و جعبهی شنی مرورگر را دور بزند. درنهایت، آرتور گرکیس از گروه Exodus Intelligence، با بهرهبرداری از آسیبپذیری آزادسازی دوگانه (double-free) و نیز یک اشکال منطقی در مؤلفهی رندر برای دور زدن جعبهی شنی مرورگر مایکروسافت اِج، ۵۰هزار دلار پاداش دریافت کرد. به گزارش واحد ZDI، تمامی این ۹ آسیبپذیری به شرکتهای این محصولات اطلاع داده شده است.
