Tämän vuoden Pwn2Own-kilpailu päättyi kolmen päivän hakkerointiin selainten ja käyttöjärjestelmien jälkeen. Lopussa Microsoftin Edge-selain nousi häviäjäksi, kun hän ei onnistunut torjumaan hyökkäyksiä tapahtuman aikana.

Kiinan tietoturvayrityksen Qihoo 360 -ryhmä käytti Edgeä ja yhdisti kaksi tietoturvavirhettä paetakseen VMware-työaseman isäntää. Ryhmä sai 105 000 dollaria palkkiona haavoittuvuuksien löytämisestä. Kilpailua sponsoroinut Zero Day Initiative sanoi blogiviestissä:

Päivämme alkoi 360 Securityn (@ mj0011sec) ihmisiltä, ​​jotka yrittivät täydellisen virtuaalikoneen paeta Microsoft Edgen kautta. Ensimmäisessä Pwn2Own-kilpailussa he onnistuivat ehdottomasti hyödyntämällä kasaan ylivuotoa Microsoft Edgessä, tyypin sekaannusta Windows-ytimessä ja käynnistämätöntä puskuria VMware-työasemassa täydellisen virtuaalikoneen pakenemiseksi. Nämä kolme virhettä ansaitsivat heille 105 000 dollaria ja 27 Master of Pwn -pistettä. He eivät sano tarkkaan kuinka kauan tutkimus vie heidät, mutta koodin esittely vaati vain 90 sekuntia.

Seuraava oli Richard Zhu (fluoresenssi), joka kohdistui Microsoft Edgeen SYSTEM-tason eskalaation avulla. Vaikka hänen ensimmäinen yritys epäonnistui, hänen toinen yritys veti kaksi erillistä UF-virhettä Microsoft Edgessä ja laajensi sitten järjestelmään puskurin ylivuodon avulla Windows-ytimessä. Tämä ansaitsi hänelle 55 000 dollaria ja 14 pistettä kohti Master of Pwnia.

Tencent Security sai myös 100 000 dollaria toisesta VMware-työaseman paeta. ZDI selitti:

Sekä päivän että kilpailun viimeisessä tapahtumassa oli Tencent Security - Team Sniper (Keen Lab ja PC Mgr), joka oli suunnattu VMWare Workstation (Vieras-isäntä) -tapahtumaan, eikä tapahtuma varmasti päättynyt hemmotteluun. He käyttivät kolmen virheen ketjua voittaakseen Virtuaalikoneen paeta (Vieras-isäntä) -kategorian VMWare-työaseman hyödyntämällä. Tähän liittyi Windows-ytimen UAF, Workstation infoleak ja aloittamaton puskuri Workstationissa vieras-isäntä-palvelimelle. Tämä luokka arvioi vaikeuksia entisestään, koska VMware-työkaluja ei asennettu vierasosaan.

Vaikka Pwn2Own-kilpailusta puuttuu oikeudenmukainen tapa hyökätä jokaiseen selaimeen yhtä suuressa määrin, Microsoftilla on tietysti vielä pitkä tie kuljettavana Edge-tietoturvan parantamiseen.