Lors du Pwn2Own, tous les navigateurs ont failli. Les chercheurs en sécurité ayant pris part au challenge ont été en mesure d'exploiter avec succès des vulnérabilités 0-day dans Internet Explorer, Firefox et Google Chrome sous Windows 8.1 ainsi que Safari sous OS X 10.9.
Pour le Pwnium, c'est le système d'exploitation Chrome OS - ayant lui-même pour socle Chrome - qui n'a pas résisté lors d'une démonstration sur un Chromebook HP 11.
Quasiment dans la foulée de ces concours de hacking, Google a diffusé des mises à jour de sécurité pour son navigateur Chrome ainsi que Chrome OS afin de corriger les failles exploitées.
Cela n'a donc pas traîné même si l'on rappellera que compte tenu des règles des concours, les vulnérabilités découvertes ne sont pas divulguées publiquement mais seulement de manière confidentielle aux éditeurs. Un risque d'exploitation dans la nature est donc faible mais la rapidité de réaction de Google est à souligner.
Pour Google Chrome, les utilisateurs doivent disposer de la version 33.0.1750.154 pour Windows et de la version 33.0.1750.152 pour OS X et Linux. La plateforme Chrome OS est de son côté en version 33.0.1750.152.
Pour son hack de Chrome OS avec une compromission durable après redémarrage, geohot a touché la somme de 150 000 dollars. Sorte de grand vainqueur du Pwn2Own dont pour une exécution de code en dehors de la sandbox de Chrome, le Français Vupen a par ailleurs mis au jour une faille dans ce navigateur qui affecte également Chrome OS.
Hors Pwnium, le hacker Pinkie Pie a fourni ce que Google qualifie d'un " ensemble fascinant de vulnérabilités " qui prennent Chrome OS à défaut. Il recevra une récompense dont le montant demeure à déterminer.
Ces concours ainsi que les programmes de Bug Bounty montrent une nouvelle fois que le domaine de la sécurité est l'école de l'humilité... même pour Google avec Chrome.
