À la conférence Pwn2Own de cette année, à Vancouver, seuls 267 000 dollars ont été remportés sur les deux millions mis sur la table par la Zero Day Initiative (Trend Micro). Sur cette somme, presque la moitié a été gagnée par Richard Zhu (@fluorescence).
Il s’est attaqué à Safari et Edge. Il n’a pas réussi sur le premier à mettre en place sa chaine d’exploitation, mais ZDI s’est montrée tout de même intéressée. Sur le second, l'assaut a fonctionné, mais à la troisième tentative et à 1min30 de la fin du chronomètre. Pour rappel, les participants n’ont droit qu’à trois essais de 30 minutes. Zhu a ainsi gagné 120 000 dollars.
En tout, on a pu compter quatre attaques contre Safari (deux réussies), trois contre Edge (une réussie) et une contre Firefox. Deux points à relever cependant sur cette édition 2018 du concours. D’une part, aucune équipe chinoise n’était présente, alors que la Chine domine la compétition depuis plusieurs années. D’autre part, personne ne s’en est pris à Chrome.
Pour rappel, les failles collectées par ZDI sont toujours communiquées aux éditeurs concernés. Ils ont 90 jours pour publier des correctifs, sans quoi les détails seront rendus publics. Un fonctionnement identique au Project Zero de Google.
